Falco & Sysdig
Falco הוא פרוייקט Cloud Native וקוד פתוח להגנת runtime. למעשה הוא מנוע זיהוי איומים ל- Kubernetes.
Falco נוצר ב-2016 ע"י חברת Sysdig, והוא פרוייקט ה- runtime security הראשון שהצטרף ל CNCF (ארגון Cloud Native Computing Foundation).
Falco מזהה התנהגות לא-צפויה של אפליקציות, ומתריע על איומים בזמן אמת.
Sysdig Secure מרחיב את היכולות של Falco בזיהוי איומים, ויחד הם מספקים מדיניות אבטחה מנוהלת עבור קונטיינרים, עננים ו- Kubernetes
(אנו מייצגים את חברת Sysdig בישראל ומציעים תמיכה ורשיונות – ניתן לפנות אלינו כדי לקבל trial והצעת מחיר – הפרטים בהמשך).
Falco יכול לנטר את ה- Linux kernel, וזה מאפשר ל- Falco (ו- Sysdig) לנטר ולהגן על כל ה- system calls של Linux (למשל security events, commands, connections ועוד).
Falco גם מתחבר באופן טבעי ל- audit logs של Kubernetes API כך שהוא יכול להצביע במהירות על פעילות חשודה. בסביבות ענן למשל, הוא יכול גם לעקוב אחרי ה- cloud audit logs ולזהות פעילות חשודה ואיומים.
בכך שכל המידע התשתיתי (כולל Kubernetes) והאפליקטיבי מנוטר ונכנס לקונטקסט משותף – זה מאפשר לצוותי DevOps ו- Security להבין בדיוק מי עשה מה ומתי!
ניתן לצפות כאן בהדגמה בעברית של Sysdig + Falco בעברית (מועברת ע"י מנהל הפיתוח של המוצר)
מדוע Falco ?
Falco מבוסס ניטור התנהגות (Behavioral monitoring). בגישה זו הוא מסתכל על המתרחש במערכת ויכול להתריע במיידית אם מתרחש משהו זדוני, וזאת להבדיל מכלים המבוססים על גישות עוקבות חתימה, העוסקים במרדף בלתי נגמר של איומים חדשים.
באמצעות Falco ניתן ליצור חוקים המגדירים התנהגות בלתי צפויה של אפליקציות. את החוקים האלה ניתן להעשיר באמצעות הוספת הקשרים ממידע המגיע מספק הענן וכן מסביבות Kubernetes. ואז ניתן לזהות violations ופעילות לא חוקית באמצעות מידע שמקורו ב- community וב- CVEs. ניתן גם לחבר את Falco לתהליכי התגובה של הארגון כדי לספק טיפול מהיר ומקצועי לאיומים.
היתרונות שבשימוש ב- Falco :
- חיזוק אבטחת המידע של הענן וה- containers (באמצעות הגדרת מדיניות של זיהוי איומים מ- containers, hosts, Kubernetes ו- cloud)
- צמצום הסיכון ע"י התראות מיידיות. ניתן להגיב באופן מיידי ולחבר את Falco לתהליכי עבודה המגיבים לאיומים
- למנף חוקים ולהעשיר אותם באופן מיידי. Falco מגיע עם אוסף חוקים מוכנים המתריעים על פעילות זדונית ופרצות ידועות (CVEs)
איך Sysdig Secure מעשיר את Falco ?
Sysdig Secure ממנף את Falco , ומספק אבטחה בזמן ריצה וזיהוי איומים בענן. Sysdig חוסך זמן רב ביצירה ותחזוקה של policies .
למעשה Sysdig Secure מרחיב את מנוע הזיהוי של Falco ע"י כך שהוא מספק אבטחה מקיפה בכל מחזור החיים של Kubernetes וסביבות ענן.
Sysdig Secure מאפשר:
- לחסום איומים ע"י הרחבת יכולות הזיהוי ומניעה של Falco (ספציפית Pod Security Policies) ולתת מענה אוטומטי שלא משפיע על הביצועים
- יצירת פרופיל מבוסס למידת-מכונה (ML) עם ספריית חוקים ועורך חוקים – מה שמקל מאוד על יצירה ועדכון של חוקי runtime של Falco
- התאמת החוקים לסביבה שלך, באופן שמצמצם מאוד את ה- false positive (התראות שווא)
- הטמעת אבטחה בתהליכי ה- DevOps של הארגון, כולל image scanning, security monitoring, forensics, incident response ו- Audit
- אימות התאמה לסטנדרטים כמו PCI, NIST, HIPAA, ISO ונוספים
- זיהוי איומים המבוסס על לוגים מהענן (למשל כניסות חשודות, גישה לקבצים ועוד)
הדגמה: Rules Library ב- Sysdig
השוואת יכולות ופיצ'רים: Falco מול Sysdig Secure
– Daemonset via Helm
– Package manager
– Docker container
CSPM
– Cloud Template
– Package manager
– Docker container
דוגמאות: Enterprise Falco יחד עם Sysdig Secure
Runtime policy ומדיניות זיהוי איומים
ספרית חוקים (Rules Library)
Remediation Actions
אנו מייצגים רשמית את חברת Sysdig בישראל, ומציעים יעוץ, תמיכה ורשיונות. למידע נוסף פנו אלינו: sysdig@almtoolbox.com או טלפונית 072-240-5222
קישורים רלבנטים:
- הקלטה: הגנה על Containers ו- Kubernetes באמצעות Sysdig (וובינר בעברית)
- אתר Falco