运行时安全已经成为云原生堆栈的标准组件。Falco最初由Sysdig于2016年创建,在下载量增加257%后,被批准加入CNCF孵化器。目前,这个CNCF唯一的开源Kubernetes运行时安全项目下载量超过850万次。
上周,最初由Sysdig创建的开源云原生运行时安全项目Falco被接受为CNCF孵化级托管项目。Falco于2018年10月作为沙箱项目进入CNCF,这是CNCF第一个也是唯一一个运行时安全项目。在运行时发生意外行为时,Falco会检测并发出警报,从而降低安全事件的风险。
Gartner分析师预测,“到2021年,超过75%的大中型企业将采用多云和/或混合IT战略。”由Kubernetes运维的云环境的好处包括缩短软件生产周期,以及跨多云和混合部署的一致性。因此,组织正在标准化Kubernetes作为容器编排器。Sysdig容器使用报告发现,2019年,77%的Sysdig客户运营运维Kubernetes环境,比2018年增长26%。
Kubernetes为开发团队提供了对基础设施的简单访问。然而,保护Kubernetes需要设置控件来检测意外行为。常见的风险包括利用未修补和新的漏洞、不安全的配置、泄漏或弱凭据,以及可以用作应用程序入口点和访问数据的内部威胁。
在运维云原生环境时,能够检测到异常活动是最后一道防线。这需要理解容器之间意外的服务交互,而不影响性能。Falco有效地利用了扩展的Berkeley Packet Filter(eBPF)这一安全机制来捕获系统调用,以获得深入的可见性。通过添加Kubernetes应用程序上下文和Kubernetes API审计事件,团队可以了解都有谁做了什么。
“运行时安全是云原生安全中的一个关键部分,对于任何认真对待云原生安全的人来说都是必不可少的。访问控制和策略执行是重要的预防技术,但需要运行时安全来检测逃避预防的威胁。”Sysdig首席开源倡导者Kris Nova说。
云原生系统的安全性是CNCF环境中少数几个仍在标准化的领域之一。作为孵化级托管项目被接受表明Falco实际上是云原生运行时安全的开源标准。Falco受到政府机构、金融机构、财富2000强企业和网络规模公司的信任。
“很高兴看到Falco在CNCF内进入孵化阶段。随着云原生技术和生态系统的成熟,关注点正在转向安全性。Falco填补了云原生安全环境中围绕入侵检测的一个关键空白。结合预防方面的其他项目和技术,我们有一个全面的开源工具包,为那些投资于云计算的人提供增强的安全性。”VMware首席工程师、CNCF TOC成员Joe Beda说。
加入CNCF以来Falco的成就有: 提交同比增长100%,64名提交人 ,超过2000颗GitHub星、55位贡献者(包括Frame.io、Shopify、Snap和Booz Allen Hamilton的工程师)。
自从加入了CNCF,Falco社区致力于使Falco更容易被采用。一个治理模型,一个为贡献者和维护者设定指导方针和标准以确保项目的合规和健康的大纲,在去年被实施。Falco也在Google marketplace上发布,并包含在几个主要的云项目中,包括AWS Firelens和Google Anthos。Falco社区创建了一个在OperatorHub.io中提供的operator。
运维容器的主要挑战之一是定义复杂的规则和配置。在KubeCon+CloudNativeCon上,Sysdig宣布了Cloud Native Security Hub——一个用于发现和共享Kubernetes安全最佳实践和配置的存储库。在下一阶段,Falco社区将扩展范围,以包括其他Kubernetes安全工具的规则和配置。
Falco的未来如何?“我们创建Falco是因为云需要运行时安全性。”Sysdig的创始人兼首席技术官Loris Degioani说,“Sysdig将Falco贡献给了CNCF,因为当核心技术由一家供应商控制时,创新就被扼杀了。想要支持、自动化和定义工作流的企业可以使用Sysdig的商业产品,其中包含Falco。其他组织可以选择使用Falco构建自己的工具。Falco成了孵化级托管项目,我们希望它将成为堆栈的标准化组件。”
在CNCF孵化器中,Falco社区将继续推动终端用户的采用。主要关注点是使Falco更易于在云原生环境中使用和集成。这包括将Falco的组件移动到API优先的架构中,从而使社区能够开始开发与其他工具的集成,包括Prometheus、demission和Kubernetes。