Falco〜OSSのコンテナの侵入・改ざん検知ツール〜
OSS研究室 森 彰吾
今回はコンテナの侵入・改ざん検知ツール「Falco」を紹介します。
Falcoについて
FalcoはSysdig.inc社によって開発されたセキュリティソフトです。特にKubernetesを代表するコンテナ環境をターゲットに開発されています。CNCF(Cloud Native Computing Foundation)のインキュベーションプロジェクトとしても登録されています。
Falcoの特徴
コンテナへの侵入・改ざん検知
Falcoは、動作中のコンテナ内のイベントを検知して、アラートを送信することができます。例えば、次のようなイベントです。
- コンテナ内の/binディレクトリのファイルが変更された(改ざんの恐れ)
- コンテナ内でシェルのプロセスが動作した(侵入の恐れ)
- コンテナ内から外部の特定ポートへの通信が発生した(侵入の恐れ)
コンテナ環境への導入の容易さ
Linux OSの侵入検知のツールは存在しますが、それらをコンテナ環境でそのまま使おうとすると、全コンテナにツールのインストールが必要になります。
対してFalcoは、ホストOSまたはKubernetes環境にデプロイすることで利用できるため、導入が比較的簡単です。また診断対象のコンテナに手を入れる必要がありません。
環境に合わせた検知ルールの作成
Falcoには、プリセットで多くの侵入・改ざん検知のルールが含まれています。ただ、プリセットのルールが、実運用に合わない場合があります。そのような場合のために、ユーザ定義のルールを後から追加することができるようになっています。単純に追加するだけでなく、プリセットのルールを上書きしたり、条件を追加するなど、きめ細かい変更ができるようになっているのも特徴の1つです。
多彩なアラート送信方式
Falcoは、様々なシステムとの連携を意識して開発されているため、アラートの方式も多彩です。コマンドを実行してメールを送信したり、ログを出力、Slack等のチャットシステムにメッセージを送ることもできます。
少し手を加えれば、WEB APIをキックすることもできます。この仕組みを応用すると、管理者にアラートを伝えるだけではなく、他のシステムと連携をして、危険な状態にあるコンテナを停止するなどのこともできるようになります。
Falcoが有効な領域
Falcoは、あくまで動作中のコンテナの侵入・改ざん検知のためのツールです。そのため、コンテナやコンテナイメージの脆弱性の診断、ハッシュベースのウィルスの検知などではないため、特性を理解した利用が必要です。
デージーネットでは
デージーネットではFalcoの他に、動的なコンテナ/コンテナイメージの脆弱性スキャンを行うVuls/Trivyなどのツールも取り扱っています。これらを組み合わせてコンテナ環境のセキュリティを高める提案を行っています。
関連ページ
Falco〜コンテナの侵入・改ざん検知ツール〜
Falcoとは、OSSのコンテナランタイムセキュリティソフトウェアです。Sysdig.inc社によって開発され、ライセンスは、Apache License Version 2、開発言語は、Goで公開されています。特にKubernetesを代表するコンテナ環境をターゲットにされています。
デージーネットからのお知らせ
【Webセミナー】VPNだけじゃない! より安心・便利なリモートワーク環境改善セミナー
OSSを利用したリモートワーク環境の改善方法に関するセミナーを行います。中心となるソフトウェアの説明の他、既存のリモートワーク環境のセキュリティを強化するために役立つ事例も紹介していきます!
- 日程:2020年6月23日(火)
- 時間:15:00 〜 16:00(ログイン可能時間14:50 〜)
※ウェビナー開催OSS「BigBlueButton」を使用します。
お申込みはまだ間に合います!ぜひこの機会にご参加ください。
お申し込みフォーム↓↓
https://www.designet.co.jp/seminar/seminar.php?seminar_id=41
無料資料ダウンロードに【Falco調査報告書】【Trivy調査報告書】【Vuls調査報告書 1.01版】を掲載しました。
Falcoは、Sysdig.inc社によって開発されたセキュリティソフトウェアです。特にKubernetesを代表するコンテナ環境をターゲットに開発されています。本書は、Kubernetes等コンテナ環境のランタイムセキュリティソフトウェアであるFalcoの調査報告書です。その他にTrivy調査報告書、Vuls調査報告書 1.01版も掲載しています。
https://www.designet.co.jp/download/#security
Kubernetes環境をより安全に『コンテナセキュリティ強化オプション』6月10日発売開始
https://www.designet.co.jp/info/?id=367
メールサーバの安全性を無料でチェックできるサイトを公開しています。
メールセキュリティへの関心が高まる中、メールセキュリティのチェック項目を整理して、誰でも簡単にチェックできるツールはありませんでした。本サイトでは、メールアドレスを入力するだけで、メールサーバのセキュリティを無料でチェックできます。