针对容器和宿主机异常行为,可以使用Sysdig捐献给CNCF基金会的容器安全产品Falco, Falco可以轻松使用内核时间,并使用K8s的审计日志等信息补充和丰富事件,Falco提供一组针对K8s、Linux和云原生的构建的安全规则,根据行为是否违反规则,来判断这次行为是否为异常,并发送警告。
Falco 可轻松检测:
1.容器内运行的 Shell;
2.服务器进程产生意外类型的子进程;
3.敏感文件读取;
4.非设备文件写入至 /dev;
5. 系统的标准二进制文件(如 ls)产生出站流量。
Falco对内核进程行为采集主要来自下面两个方面: