クラウドネイティブを学ぼう!

Falcoとは?

SHARE:

Falco はオープンソースのランタイムセキュリティプラットフォームで、Linux コンテナやアプリケーション内の不審な振る舞いを検知し、対応することができます。

DevSecOps

現在CNCFの管理下にあるFalcoクラウドネイティブプロジェクトは、もともとKubernetesで動作するようにSysdigによって設計されましたが、Kubernetesに限定されるものではありません。Falcoは、他のコンテナオーケストレーションプラットフォームやスタンドアロンコンテナデプロイメントに対してもランタイムセキュリティモニタリングを提供することができます。

Falco の目的は、Linux カーネルとコンテナランタイムの振る舞いを監視することで、不審な活動を検知し警告することです。Falco は、Linux カーネルのシステムコールを監視し、ユーザが定義したルールに基づ いて異常なアクティビティにフラグを立てます。また、実行中のコンテナ内の異常なプロセスや、コンテナエスケープの脆弱性を悪用したり、機密データにアクセスしようとする試みも検知できます。

最後に、Falco のサービスコンテキスト機能は、デプロイと環境の変更を追跡することを可能にします。

ランタイムセキュリティの利点

Kubernetes環境における一部のワークロードは動的であり一過性であるため、静的スキャンやその他の従来のセキュリティ対策は現実的ではありません。

さらに、Kubernetesは複雑で動的なシステムであるため、潜在的なセキュリティリスクを常に把握しておくことは困難です。そのため、ランタイムセキュリティ、つまりリアルタイムで動作を監視する能力が、セキュリティ問題を迅速に特定して対処するために必要となります。

ランタイムセキュリティは、多くの理由から非常に重要です:

  • まず、コンテナエスケープ、特権の昇格、ネットワーク攻撃などの悪意のある行為の防止を支援します。
  • 次に、HIPAA や PCI DSS などの規制の実施を支援します。
  • 最後に、ランタイムセキュリティは、静的解析や脆弱性スキャナが見逃す可能性のある脆弱性やエクスプロイトに対する防御レイヤーをさらに増やします。

ランタイムセキュリティは、アプリケーションとワークロードを不正アクセス、悪意のある、または意図しない変更、および攻撃を示す可能性のある不審な振る舞いから保護することができるため、現代の組織にとって重要なステップです。その結果、Falcoの導入はお客様のアプリケーションとKubernetesクラスタにセキュリティレイヤを加えることになります。

最後に、Falcosidekick – Falco が監視するすべてのイベントを表示するためのユーザ インタフェース – を追加することで、お客様の環境のアクティビティについ てさらに多くのインサイトを得ることができ、セキュリティへの自信が深まります。

Falcoで行える事とは?

Falco を利用することで、お客様の環境で発生している不審な行動をより詳細に把握する ことができ、悪意のあるアクターやその他の脅威から保護することが可能になります。Falco は悪意のある行動を検知するだけでなく、パフォーマンスの問題や設定ミスを発見することもできます。

DevSecOps

Falcoは、システムコール(カーネル、ユーザーアプリケーション、およびハードウェア間の低レベルのインターフェイス)を監視し、疑わしい活動としてフラグを立てるべきかどうかを判断するために、一連のルールと照合します。

システムルールは、Falco がシステムコールから収集したデータをどのように解釈し、シス テム上で何か異常が発生したとき(すなわち、ルールに違反する活動を発見したとき) に警告を発するようにするかについて、Falco に指示します。

Falco は、Falcosidekick のような外部コンポーネントだけでなく、様々な要素 (ルール、アラート、プラグインなど)と連携して動作します。Falco のルールはオープンソースであり、高度に拡張可能であるため、特定のニーズに合わせて自由にカスタマイズすることができます。さらに、Falco はプラグインと連携し、アラート用のデータソースを追加したり、より特 定の種類のアラートをサポートしたりすることで、その機能をさらに拡張することができます。

最後に、Falcosidekick は、Falco のアラートによってトリガーされたイベントをリアルタイムで視覚化することで、私たちの環境で何が起きているのかをよりよく理解するための視覚化ツールです。このツールを使用することで、悪意のある活動やシステム内のパフォーマンス上の問題を示す可能性のある大きなイベントを迅速に特定したり、アラートの異常値や傾向を長期にわたって検出したりすることができます。

Falcoのルールとアラートについて

セキュリティといえば、ファイアウォール、アンチウイルス、暗号化標準を思い浮かべるでしょう。しかし、アプリケーションのランタイムはどうでしょうか?そこでFalcoの出番です!Falco はシステムコール(syscall)を監視し、そのルールと照合することで機能します。

もし何かが Falco の期待する振る舞いと一致しない場合、Falco はアラートを発します。それにより、適切な行動をとることができます。Falco のルールとアラートは、Falco のランタイムセキュリティアーキテクチャの重要な構成要素です。ルールはアラートが生成される条件を定義し、アラートはルール違反が検出されたときに生成されるアウトプットです。

もう少し詳しく説明しましょう:

Falcoルールとは?

Falcoルールは、従うべき一連の期待される振る舞いを提供します。ルールは YAML で記述され、どのイベントが監視されるべきか、また、アラートがトリガーされたときにどのアクションが取られるべきかを定義します。イベントは、プログラムが特定のファイルにアクセスすることから、ユーザが昇格した権限でコマンドを実行することまで、多岐にわたります。

たとえば、コンテナが許可されたパス外のファイルにアクセスしようとすると、ルールがトリガされ、アラートが生成されてコンテナが終了するようなアクションが実行されるかもしれません。

Falcoのアラートとは?

監視されたイベントが定義されたルールから予想されるものと一致しない場合、アラートがトリガーされます。アラートはEメールやSlack通知で送信することもできますし、さらなる分析や調査のために別のサードパーティサービス(PagerDutyやDatadogなど)に送信することもできます。

Falco のアラートメカニズムは非常に柔軟で、特定の要件に合わせてカスタマイズすることができます。例えば、アラートは、Kubernetesのネームスペースやトリガーされた特定のルールの名前のような追加のコンテキストを含むようにカスタマイズすることができます。さらに、管理者はルール違反の深刻度に基づいて特定のチャネルにアラートを送信するように設定できます。

カスタマイズ可能なルールとアラートを使用することで、Kubernetes管理者はクラスタをリアルタイムで監視し、潜在的なセキュリティ脅威を検知して、インシデントに迅速に対応することができます。これらの強力なツールを自由に使用することで、潜在的な脅威に迅速に対応し、アプリケーションの安全性を保つことができます!

Falcoのコンポーネントとは?

Falco は、Kubernetes やその他のコンテナ化されたシステムに対して包括的なランタイムセキュリ ティ・ソリューションを提供するために、ユーザースペースプログラム、コンフィギュレーション、Falco ドライバといった様々なコンポー ネントが協働するモジュラー・アーキテクチャの上に構築されています。Falco の主要なコンポーネントは以下のとおりです:

  1. ユーザースペース・プログラム – これは Falco CLI ツールであり、ユーザは Falco と対話することができます。ユーザースペースプログラムは、シグナルを処理し、Falcoドライバからのデータを解析し、通知を送信します。
  2. コンフィギュレーション – コンフィギュレーションは、Falco の実行方法、アサートするル ール、およびアラートの処理方法を定義します。これには、どのルールがシステムコールの監視に使用されるべきかを指定することや、アラートがどのように送信されるべきかを定義することが含まれます。
  3. Falco ドライバ – Falco ドライバは、システムコールを監視し、ユーザースペースプログラムにイ ベントを送信するカーネルモジュールです。ドライバはシステムコールをインターセプトし、ユーザースペースプログラ ムに転送し、事前定義されたルールと比較します。

Falcoプラグインとは?

Falco プラグインは、Falco ランタイムセキュリティシステムの機能を拡張するために 使用できるオプションの拡張機能です。プラグインはモジュール式でユーザーフレンドリーであり、新しいルール、出力、 またはAPIをシステムに追加するために使用することができます。

これらのプラグインは、Slack、PagerDuty、または MySQL のようなサードパーティのアプリケーションやサービスと統合することで、 通知を送信したり、アラートを保存したりするために使用することができます。さらに、Falcoのプラグインは、HTTPトラフィック分析やKubernetesのログ出力など、アラートの完全なコンテキストを接続するための強化されたモニタリング機能を可能にします。

管理者が Falco と連携してこれらのプラグインを使用する場合、どのようなアプリ ケーションにおいてもシステムレベルの振る舞いを監視することができます。Falco のプラグインによって提供される拡張性を活用することで、管理者は、サードパーティのアプリ ケーションであろうと内部で開発されたマイクロサービスであろうと、システムアクティビティに対 してより高い可視性を得ることができます。

管理者はまた、特定のセキュリティニーズを満たすためにプラグインを使用してFalcoをカスタマイズすることができ、Kubernetes環境を保護するための汎用的で強力なツールとなっています。Falcoを外部システムと統合するための最も一般的なオプションには、以下のようなものがあります:

  • Slack: アラートがトリガーされたときにSlack経由で通知を送信するためにこのプラグインを使用します。
  • PagerDuty:スケジューリングやエスカレーションなどの追加機能にアクセスするために、このプラグインを使用してPagerDutyをFalcoと統合します。
  • MySQL: このプラグインを使用してMySQLデータベースにデータをロードし、アラート情報を継続的に保存します。
  • HTTPトラフィック分析: 異なるアプリケーション間のリクエストを分析するために、このプラグインを使用してHTTPリクエストを追跡します。

Falcosidekickとは?

Falcosidekick は、Falco と連動してアラートを処理・処理するための機能を追加し、 設定や運用をよりシンプルにするコンポーネントです。Falcosidekick は 2 つの主要なタスクを実行します: ルールを適切な形式に変換し、 必要に応じてルールを実行します。

Falcosidekick は Falco とサーバー間の通信を処理し、アラートメッセージ送信のための安全なチャネルを提供します。Falcosidekickを使用して、Eメール、Slack、またはWebhookのような様々な出力チャネルにアラートを送信することができます。さらに、Kubernetes APIからのメタデータのように、警告にコンテキストを与えるために使用することもできます。

要するに、Falcosidekickは、ルールが適切に設計され、アラートが迅速に受信されることを保証し、本番環境でFalcoを運用する上で重要な役割を果たします。これがなければ、システムコールの監視や悪意のある活動を発見するためのルールとの照合など、Falcoを非常に強力にする機能を十分に活用することはできないでしょう。

Helmを使ってKubernetesクラスタにFalcoとFalcosidekickをインストールする方法

Helmを使用してKubernetesクラスタにFalcoとFalcosidekickをインストールするには、以下の手順に従います:

1. FalcoとFalcosidekickのHelmチャートリポジトリを追加:

helm repo add falcosecurity https://falcosecurity.github.io/charts

2. ローカルのHelmチャートリポジトリのキャッシュを更新:

helm repo update

3. Falco と Falcosidekick のインストールに関する設定値を定義する values.yaml ファイルを作成します。例えば

falco:
  image:
    repository: falcosecurity/falco
    tag: 0.31.0
  jsonOutput: true
  rules:
    enabled: true
  securityModule:
    enabled: true
  webhook:
    enabled: true
    url: http://falcosidekick:2801/

falcosidekick:
  image:
    repository: falcosecurity/falcosidekick
    tag: 1.4.4
  config:
    outputs:
      - type: alertmanager
        api:
          url: http://alertmanager:9093

Code language: JavaScript (javascript)

このvalues.yamlファイルは、Falcoがバージョン0.31.0を使用するように設定し、JSON出力、ルール、セキュリティモジュールを有効にし、Falcosidekickを指すWebhook URLにアラートを送信します。また、Falcosidekickがバージョン1.4.4を使用するように設定し、クラスタで実行されているalertmanagerインスタンスにアラートを送信します。

4. Helmを使用してFalcoとFalcosidekickをインストールします:

helm install falco falcosecurity/falco -f values.yaml

これにより、falcoという新しいKubernetesのネームスペースが作成され、FalcoとFalcosidekickがその中にデプロイされます。

5.FalcoとFalcosidekickが動作していることを確認します:

kubectl get pods -n falco

この後、Falco用とFalcosidekick用の2つのポッドが見えるはずです。

6. 新しいDaemonSetを作成することで、Falcoを使用するようにKubernetesクラスタを設定します:

 apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: falco
  namespace: falco
spec:
  selector:
    matchLabels:
      app: falco
  template:
    metadata:
      labels:
        app: falco
    spec:
      containers:
      - name: falco
        image: falcosecurity/falco:0.31.0
        imagePullPolicy: IfNotPresent
        securityContext:
          privileged: true
          capabilities:
            add:
            - AUDIT_CONTROL
            - AUDIT_READ
        env:
        - name: FALCO_JSON_OUTPUT
          value: "true"
        - name: FALCO_LOG_LEVEL
          value: "info"
        volumeMounts:
        - name: host-filesystem
          mountPath: /host
        - name: var-run
          mountPath: /var/run
        - name: var-lib
          mountPath: /var/lib/falco
      volumes:
      - name: host-filesystem
        hostPath:
          path: /
      - name: var-run
        hostPath:
          path: /var/run
      - name: var-lib
        hostPath:
          path: /var/lib/falco

このDaemonSetは、Kubernetesクラスタの各ノードでFalcoの新しいインスタンスを実行し、FalcoとFalcosidekickにアラートを送信するように設定します。

以上の手順で、KubernetesクラスタにFalcoとFalcosidekickがインストールされ、アラートを受信できるようになります。

結論

結論として、FalcoはKubernetesクラスタのランタイムセキュリティを確保するための貴重なツールです。Falcoは、システムコールを監視し、ルールと照合し、疑わしい活動や悪意のある活動を検出した場合にアラートを送信します。

Falcoのルールは、ユーザが疑わしい活動を構成するものを定義する方法を提供し、Falcoのプラグインはアラートのカスタマイズを可能にします。

Falcosidekickは、KubernetesクラスタにFalcoをインストールして管理する簡単な方法を提供します。この記事で示したステップに従うことで、Falcoを迅速かつ容易に稼働させることができます。そして、改善されたランタイムセキュリティの利点を得ることができます。