홈페이지>프로그래밍 관련>기타 소스코드
다운로드

팔코

Falco는 Linux 운영 체제용 클라우드 네이티브 런타임 보안 도구입니다. 비정상적인 행위와 잠재적인 보안 위협을 실시간으로 탐지하고 경고하도록 설계되었습니다.

기본적으로 Falco는 사용자 정의 규칙을 기반으로 syscall과 같은 이벤트를 관찰하는 커널 모니터링 및 탐지 에이전트입니다. Falco는 컨테이너 런타임과 Kubernetes의 메타데이터를 통합하여 이러한 이벤트를 향상시킬 수 있습니다. 수집된 이벤트는 SIEM 또는 데이터 레이크 시스템에서 호스트 외부에서 분석될 수 있습니다.

원래 Sysdig에서 만든 Falco는 다양한 조직의 프로덕션에 사용되는 CNCF(Cloud Native Computing Foundation)의 졸업 프로젝트 입니다.

Falco가 감지할 수 있는 사이버 위협에 대한 자세한 기술 정보와 통찰력을 보려면 공식 Falco 웹사이트를 방문하세요.

프로젝트의 최신 업데이트 및 변경 사항에 대한 포괄적인 정보는 변경 로그를 참조하세요. 또한 우리는 Falco의 새 버전을 제공하기 위한 릴리스 프로세스를 문서화했습니다.

Falco Repo: Falco 프로젝트의 핵심 지원

이는 Falco 바이너리를 빌드하기 위한 소스 코드가 포함된 주요 Falco 저장소입니다. libs와 falco.yaml 구성 파일을 활용하여 이 저장소는 Falco 기능의 기초를 형성합니다. Falco 저장소는 다음 핵심 저장소와 밀접하게 연결되어 있습니다.

  • falcosecurity/libs: Falco의 라이브러리는 Falco 바이너리 소스 코드의 상당 부분을 구성하고 커널 드라이버와 같은 필수 기능을 제공하는 기본 작업의 핵심입니다.
  • falcosecurity/rules: 다양한 보안 위협 및 비정상적인 동작에 대해 사전 정의된 탐지 규칙을 제공하는 Falco의 공식 규칙 세트가 포함되어 있습니다.
  • falcosecurity/플러그인: Falco 플러그인은 외부 서비스와의 통합을 촉진하고, Falco의 기능을 syscall 및 컨테이너 이벤트 이상으로 확장하며, 향후 릴리스에서 특수 기능으로 발전하도록 설계되었습니다.
  • falcosecurity/falcoctl: Falco를 관리하고 상호 작용하기 위한 명령줄 유틸리티입니다.

자세한 내용은 Falco 프로젝트의 공식 허브인 falcosecurity/evolution을 방문하세요. 이는 프로젝트 저장소에 대한 귀중한 통찰력과 정보를 제공합니다.

팔코 시작하기

공식 문서를 주의 깊게 검토하고 따르십시오.

Falco 채택자를 위한 고려사항 및 지침:

  1. 종속성 이해: Falco를 실행할 환경을 평가하고 커널 버전과 아키텍처를 고려하세요.

  2. 위협 탐지 목표 정의: Falco의 강점과 한계를 탐지하고 평가하려는 위협을 명확하게 식별합니다.

  3. 성능 및 비용 고려: 컴퓨팅 성능 오버헤드를 평가하고 시스템 관리자 또는 SRE와 협력합니다. 그에 따라 예산을 책정하십시오.

  4. 빌드 및 사용자 지정 접근 방식 선택: 오픈 소스 Falco 빌드 또는 사용자 지정 빌드 파이프라인 생성 중에서 결정합니다. 고유한 테스트나 접근 방식을 통합하는 등 필요에 따라 빌드 및 배포 프로세스를 사용자 지정하여 빠른 배포 주기로 탄력적인 배포를 보장합니다.

  5. 출력 대상과 통합: Falco를 SIEM, 데이터 레이크 시스템 또는 기타 선호하는 출력 대상과 통합하여 포괄적인 데이터 분석을 위한 강력한 기반을 구축하고 효과적인 사고 대응 워크플로우를 활성화합니다.

데모 환경

데모 환경은 falco, falcosidekick, falcosidekick-ui 및 필수 redis 데이터베이스를 포함하는 docker 호스트에서 시작할 수 있는 docker-compose 파일을 통해 제공됩니다. 자세한 내용은 docker-compose 섹션을 참조하세요.

기여하는 방법

기여 방법에 대한 자세한 내용은 기여 가이드 및 행동 강령을 참조하세요.

커뮤니티에 가입하세요

Falco 프로젝트에 참여하려면 커뮤니티 저장소를 방문하여 더 많은 정보와 참여 방법을 찾아보세요.

Falco 또는 기여에 대해 질문이 있는 경우 주저하지 말고 문제를 제출하거나 Falco 유지 관리 담당자 및 커뮤니티 구성원에게 도움을 요청하세요.

연락하는 방법?

  • Kubernetes Slack의 #falco 채널에 참여하세요.
  • Falco 메일링 리스트에 가입하세요.
  • 문제를 제기하거나 기능을 요청하세요.

Falco 자체 보안에 대한 약속

다양한 보안 감사에 대한 전체 보고서는 여기에서 확인할 수 있습니다.

또한 보안 권고 및 정책에 대한 자세한 업데이트는 falco 및 libs 보안 섹션을 참조하세요.

보안 취약성을 보고하려면 여기에 있는 문서에 설명된 커뮤니티 프로세스를 따르십시오.

팔코의 다음 단계는 무엇입니까?

현재 개발 중이고 향후 릴리스에 계획된 기능에 대한 통찰력을 제공하는 Falco 로드맵을 탐색하여 Falco의 진화하는 기능에 대한 최신 정보를 받아보세요.

특허

Falco는 Apache 2.0 오픈 소스 라이선스에 따라 귀하에게 라이선스가 부여됩니다.

테스트

테스트 지침 확장

Falco의 Build Falco from source는 소스에서 Falco를 빌드하는 방법을 이해하는 데 도움이 되는 리소스입니다. 또한 falcosecurity/libs 저장소는 Falco의 기본 라이브러리 및 커널 드라이버의 테스트 및 디버깅에 대한 귀중한 추가 정보를 제공합니다.

다음은 이 저장소의 모든 단위 테스트에 필요한 모든 것을 활성화하는 cmake 명령의 예입니다. 

cmake 
-DUSE_BUNDLED_DEPS=ON 
-DBUILD_LIBSCAP_GVISOR=ON 
-DBUILD_BPF=ON 
-DBUILD_DRIVER=ON 
-DBUILD_FALCO_MODERN_BPF=ON 
-DCREATE_TEST_TARGETS=ON 
-DBUILD_FALCO_UNIT_TESTS=ON .. ;

단위 테스트 도구 모음을 빌드하고 실행합니다. 

nproc= $( grep processor /proc/cpuinfo | tail -n 1 | awk ' {print $3} ' ) ;
make -j $(( $nproc - 1 )) falco_unit_tests ;
# Run the tests
sudo ./unit_tests/falco_unit_tests ;

선택적으로 원하는 드라이버를 빌드하고 Falco 바이너리를 테스트 실행하여 수동 테스트를 수행합니다.

마지막으로 The Falco Project는 Falco 회귀 테스트를 falcosecurity/testing으로 옮겼습니다.


Falco가 Go나 {언어}가 아닌 C++로 된 이유는 무엇인가요?

정보 확장
  1. Falco 기반의 첫 번째 코드 줄은 얼마 전에 작성되었지만 Go는 아직 오늘날과 같은 수준의 성숙도와 채택 수준을 갖추지 못했습니다.
  2. Falco 실행 모델은 도구의 상태 저장 요구 사항으로 인해 순차 및 단일 스레드이므로 Go 런타임의 동시성 관련 판매 포인트 대부분은 전혀 활용되지 않습니다.
  3. Falco 코드는 여러 곳에서 매우 낮은 수준의 프로그래밍을 다루고(예: 일부 헤더는 eBPF 프로브 및 커널 모듈과 공유됨) Go와 C의 인터페이스가 가능하지만 테이블에 엄청난 복잡성과 절충안이 있다는 것을 우리 모두 알고 있습니다. .
  4. 엄청나게 높은 초당 이벤트 처리량을 소비하기 위한 보안 도구로서 Falco는 런타임 시 모든 핫 경로에서 성능을 짜내야 하며 Go 런타임이 제공할 수 없는 메모리 할당에 대한 심층적인 제어가 필요합니다(가비지 수집도 포함됨). .
  5. Go는 Falco 핵심의 엔지니어링 요구 사항에 적합하지 않았지만 여전히 플러그인 시스템을 통해 Falco 확장을 작성하기 위한 좋은 후보가 될 수 있다고 생각했습니다. 이것이 우리가 플러그인 SDK 개발에 특별한 관심과 높은 우선순위를 부여한 주된 이유입니다.
  6. Go는 정적으로 연결된 바이너리를 갖기 위한 요구 사항이 아닙니다. 실제로 우리는 몇 년 전부터 완전 정적 Falco 빌드를 제공하고 있습니다. 유일한 문제는 현재 우리가 가지고 있는 동적 라이브러리 모델에서는 플러그인 시스템을 지원할 수 없다는 것입니다.
  7. 플러그인 시스템은 여러 언어를 지원하도록 구상되었으므로 결국 C 호환 코드베이스를 유지하는 것이 언어 간 호환성을 최대화하는 최선의 전략입니다.
  8. 일반적으로 플러그인에는 동적 로딩에 필요한 낮은 수준의 C 바인딩이 있기 때문에 GLIBC 요구 사항/종속성이 있습니다. 미래를 위한 잠재적인 솔루션은 플러그인이 컴파일 타임에 정적으로 연결되어 Falco 바이너리에 번들로 릴리스되도록 지원하는 것입니다. 이 방향으로 아직 작업이 시작되지 않았지만 보고된 대부분의 문제가 해결되고 완전히 정적인 바이너리도 제공됩니다. 물론 이는 더 이상 동적 로딩과 호환되지 않지만 Falco의 정적 빌드 버전에는 실행 가능한 솔루션이 될 수 있습니다.
  9. 메모리 안전은 확실히 중요한 문제이며 C++에서는 오류가 발생하기 쉬움에도 불구하고 우리는 높은 수준의 품질을 유지하기 위해 최선을 다합니다. 예를 들어, 가능할 때마다 스마트 포인터를 사용하려고 노력하고, CI에 주소 삭제 기능이 포함된 라이브러리를 구축하고, 각 릴리스 전에 Valgrind를 통해 Falco를 실행하고, 성능 저하나 이상한 메모리 사용을 감지하기 위해 스트레스 테스트를 수행하는 방법을 갖고 있습니다( 예: https://github.com/falcosecurity/event-generator). 게다가 우리는 때때로 코드베이스를 감사하는 제3자도 있습니다. 물론 이 중 완벽한 안전 관점은 없지만 우리는 가능성을 최대화하려고 노력합니다. Go는 확실히 이러한 관점에서 우리의 삶을 더 쉽게 만들어 줄 것입니다. 그러나 위의 사항으로 인해 지금까지는 절충안으로 인해 그만한 가치가 없었습니다.
  10. Falco의 핵심인 falcosecurity/libs의 C++ 코드베이스는 상당히 크고 복잡합니다. 모든 코드를 다른 언어로 포팅하는 것은 많은 개발 리소스가 필요하고 실패 및 회귀 가능성이 높은 큰 노력이 될 것입니다. 따라서 지금까지 우리의 접근 방식은 코드의 해당 부분에 대해 최적 수준의 안정성, 품질 및 모듈성에 도달할 때까지 대신 리팩터링과 코드 연마를 선택하는 것이었습니다. 이를 통해 향후 추가 개발이 더 원활하고 실현 가능해질 수 있습니다.

자원

  • 통치
  • 행동 강령
  • 유지관리자 지침
  • 유지관리자 목록
  • 리포지토리 지침
  • 저장소 목록
  • 채택자 목록
  • 설치 및 운영
  • 문제 해결
확장하다
추가 정보
관련 애플리케이션
추천
관련 정보 전체
사용자 리뷰