Falcoとは
Falco(ファルコ)とは、Kubernetesなどのコンテナ環境を対象にランタイムセキュリティチェックを行うオープンソースのソフトウェアです。Sysdig.inc社によって開発されました。ライセンスはApache License Version 2、開発言語はGoで公開されています。また、CNCF(Cloud Native Computing Foundation)のインキュベーションプロジェクトとしても登録されています。
Falcoは、ラテン語で「隼(はやぶさ)」という意味があります。Falcoを使用すると、コンテナでシェルのプロセスが動作した際や、コンテナ内の/bin等のディレクトリが改ざんされた際にイベントを検知し、アラートを送信します。Falcoには、Linux KernelのeBPF(extended Berkeley Packet Filter)という機能を利用してシステムコールをキャプチャし、キャプチャしたシステムコールを利用してアラートを送信するという仕組みがあります。システム上で通常行われないような操作を検知し、条件によってアラートを送るという仕組みを構築することで、何かあったときに素早く対応できるようになります。その結果、セキュリティインシデントのリスクを低減することが可能となります。またFalcoは、Slackなどのチャットシステムと連携することで、いち早くアラートに対応することが可能となります。
主な特徴
きめ細かいルールの適用
Falcoには、侵入・改ざん検知のデフォルトのルールが豊富に揃っています。デフォルトのルールを活用すれば、細かい設定を行う手間を省くことができ、すぐに適用することが可能となります。デフォルトのルールが実運用と合わない場合には、ユーザ定義のルールを後から追加することも可能です。またデフォルトの条件を変更・上書きして新しいルールを設定することもできます。そのため、ユーザに合わせてよりきめ細かいルールに対応することが可能となります。
ランタイムセキュリティチェック
Falcoでは、実行時にコンテナや、ポッドの動作をモニタリングすることが可能です。ランタイムセキュリティチェックを行うことで、例えば下記のような動作を検出することができます。
- 標準的な動作から外れた場合の動作
- 決して起こらない動作
多様なアラートの送信方法
Falcoには、数多くのアラートの送信方法があります。下記のようなアラート送信設定を行うことが可能です。
- コマンドを実行してメールを送信
- Syslogを使ってアラートをログに出力
- Slack等のチャットシステムにメッセージを送る
アラートをSlackなどのチャット等にメッセージの送信を行えば、より確実にイベントを認識することができます。
できない機能や課題
Falcoは、コンテナやポッドの動作に応じて、アラートを送信するソフトウェアです。あくまで動作中のコンテナの侵入・改ざん検知ツールであることから、以下のような機能がありません。
- ClamAV等のウイルスの検知
- SELinux等の操作の停止
- コンテナに含まれるソフトウェアの脆弱性診断
- コンテナイメージの脆弱性診断
このような機能が必要な場合は、他のツールと併用する必要があります。またFalcoには、デフォルトのルールの理解が必要であったり、ルール条件の作成に\\Sysdigフィルター構文を理解することが必要という課題があります。ルール作成・更新には、ある程度の専門的知識が必要となります。
利用方法例
Falcoは、コンテナの侵入・改ざん検知ツールとして開発され、コンテナ内でのマルウェアの実行に気づくことを重点としています。Kubernetesやコンテナの特性上、異常な動きを検知した場合、能動的な対策を打つことが可能となります。例えば次のような方法です。
- Falcoが特定のポッドで、攻撃的なファイルの作成を検知する
- 外部プログラムにポッドのID等の情報を渡す
- 外部プログラムが自動的にポッドを再作成する
この方法では、攻撃者がコンテナにマルウェアを注入し実行しようとした場合でも、マルウェアを配置した段階でポッドの再作成が可能となり、攻撃成功の可能性を低くすることができると考えられます。マルウェアを注入し続けられてしまうとサービスに影響がでるため、人間の介入も必要になってくると思いますが、最悪の事態を防ぐには充分の効力を発揮すると考えられます。
デージーネットの取り組み
デージーネットでは、Falcoでできない機能を補うために、動的にコンテナ/コンテナイメージの脆弱性スキャンを行うVuls/Trivyなどのツールも利用しています。各ソフトウェアのインストール方法や詳細な情報は、資料ダウンロードページに調査報告書として掲載しています。
【カテゴリ】:セキュリティ  仮想化  仮想基盤  オープンソースソフトウェア  
【Webセミナー】Rocket.Chatだけじゃない!OSSビジネスチャットの最新情報
日程: | 12月19日(木)Webセミナー「BigBlueButton」を使用します。 |
内容: | Rocket.Chatの機能制限でお困りの方も必見!ライセンスフリーで利用できるOSSのビジネスチャットを紹介します。 |
ご興味のあるかたはぜひご参加ください。 |