Suchen

Falco erhöht Sicherheit von CNCF-Anwendungen Open Source-Security für Cloud-native-Umgebungen

| Autor / Redakteur: Thomas Joos / Ulrike Ostler

Das Open Source Project „Falco“ soll helfen, Cloud-native-Anwendungen und Kubernetes-Umgebungen sicher zu gestalten. Mit der Software lassen sich Container-Umgebungen überwachen. Warnmeldungen kann Falco auf verschiedenen Wegen versenden.

Firma zum Thema

Ob die Entwickler, die das Projekt „Falco“ aus der Taufe gehoben haben, an den Sänger Falco, Johann „Hans“ Hölzel und sein velleicht erfolgreichsten Titel „Rock me, Amadeus“ gedacht haben, ist unbekannt. Dieses Graffito findet sich bei der Falcostiege, bei der U-Bahn-Station Kettenbrückengasse.
Ob die Entwickler, die das Projekt „Falco“ aus der Taufe gehoben haben, an den Sänger Falco, Johann „Hans“ Hölzel und sein velleicht erfolgreichsten Titel „Rock me, Amadeus“ gedacht haben, ist unbekannt. Dieses Graffito findet sich bei der Falcostiege, bei der U-Bahn-Station Kettenbrückengasse.
(Bild: CC BY-SA 4.0 / CC BY-SA 4.0)

Die Cloud Native Computing Foundation (CNCF) hat die beliebte Open Source-Überwachungslösung „Falco“ weiter entwickelt und will die Anbindung an Kubernetes erweitern. Falco hilft dabei, Gefahren in Kubernetes-Umgebungen zu erkennen und zu beheben. Im Fokus von Falco steht das Erkennen von unnormalem Verhalten in Container-Anwendungen, vor allem im Bereich der Cloud.

Erkennen von Gefahren in Kubernetes, Docker und Mesosphere

Erkennt das Tool eine Sicherheitsgefahr, kann es Warnmeldungen versenden. Damit sich Container effektiv überwachen lassen, arbeitet Falco mit verschiedenen Umgebungen zusammen. Dazu gehören neben Kubernetes auch „Docker“ und „Mesosphere“. Warnungen werden auf verschiedenen Wegen versendet, zum Beispiel mit „Slack“, „Fluentd“ und „NATS“. Aber es ist auch ein E-Mail-Versand mit SMTP möglich.

Im Fokus der weiteren Entwicklung stehen APIs mit denen sich weitere Anwendungen zur Überwachung anbinden lassen. In diesem Zug soll Falco auch enger mit Kubernetes zusammenarbeiten können. Mit dem Falco-Exporter-Tool können Warnungen zum Beispiel an „Prometheus“ gesendet werden. Auch Benachrichtigungen zu „Microsoft Teams“ oder „Discord“ sind möglich. Weitere Verbindungsmöglichkeiten bestehen zu „Datadog“, „Alertmanager“, „Elasticsearch“, „Loki“, „Influxdb“, „AWS Lambda“, „AWS SQS“, „Azure Event Hubs“, „Opsgenie“, „Statsd“ oder „Dogstatsd“.

Die Funktionsweise von Falco

Falco nutzt Deep Kernel Tracing, das auf dem Linux-Kernel, „eBPF“ und „ptrace“ aufbaut. Dazu kommt die Überwachung von Ereignissen für Kubernetes und Container-Metainformationen. Mit Falco können Administratoren und Entwickler eigene Sicherheitsregeln erstellen und Container-Umgebungen auch vor unbekanntem oder unerwünschtem Verhalten schützen. Auch das Erkennen von Zero-Day-Lücken ist möglich. Dazu kommt das Entdecken von CVEs, Anomalien und Bedrohungen im System.

Zudem erlaubt Falco Malware-Aktivitäten und Angriffe auf Host- und auf Containerebene zu erkennen. Einer der Vorteile von Falco liegt in der Verwendung seiner flexiblen Regelsprache. Dadurch können Administratoren oder Entwickler eigene Richtlinien zur Überwachung ihrer Umgebung erstellen. Falco wird bereits bei der Installation mit verschiedenen Out-of-Box-Erkennungsregeln installiert.

Die Version vom August 2020

Mit der Version 0.25 aus dem August gibt es einige Neuerungen in Falco. „Kubernetes PodSecurityPolicies“ können jetzt nativ in Falco integriert werden. Zudem hält die jüngste Version einige neue Regeln für bekannte CVEs bereit. Außerdem gibt es in der neuen Version weniger False Postives. Die aktive Community des Projektes verbessert mit jeder Version die integrierten Erkennungsregeln und deren Verhalten.

Der „gRPC“-Ausgabemechanismus ermöglicht es, Falco-Sicherheitswarnungen über eine „mTLS“-authentifizierte API über gRPC zu nutzen. Das ermöglicht eine flexible Infrastruktur mit Falco, in der Administratoren und Entwickler Warnmeldungen auf zahlreichen Wegen versenden können. Falco kann auch auf gRPC-Verbindungen über einen Unix-Domain-Socket horchen.

* Der Autor Thomas Joos schreibt IT-Fachartikel und -Bücher. Auf DataCenter-Insider füllt er seinen eigenen Blog mit Tipps und Tricks für Admins: „Toms Admin-Blog“.

(ID:46908939)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist