Falcoの脅威検知機能をGoogle gVisor環境監視のセキュリティツールとして拡張することで高感度なワークロードの監視が可能に

SEPTEMBER 16, 2022

SHARE:

gVisorのユーザーは、コンテナワークロードのセキュリティとアラートの強化にFalcoを実行できるようになりました

サンフランシスコ発 — 2022年9月15日 – 統合コンテナおよびクラウドセキュリティのリーダーであるSysdig(シスディグ)は本日、オープンソースのFalco脅威検知がアプリケーションカーネルであるGoogle gVisorの環境を監視する最初のセキュリティツールになったことを発表しました。

Google gVisor(以下gVisor)は、セキュアな方法としてカーネルを厳密に分離する事でアプリケーションを実行します。一方、分離が追加されたことにより、ツールでセキュリティイベントを監視することができなくなる課題がありました。今回のFalco-gVisorの統合により、この課題が解決され、ユーザーはgVisorからセキュリティイベントを収集・分析することが可能になります。

株式会社メルカリのシニアセキュリティエンジニア、末澤 裕希氏は、「gVisorはコンテナアプリケーションとホストOSを安全に分離してくれますが、それゆえにホストカーネルのシステムコールをモニタリングするFalcoの利用ができませんでした。」と述べています。「メルカリはFalcoを脅威検知とコンテナアクティビティのロギングのために使用しており、Falcoのルールエンジンのパワーと柔軟性を実感しています。今回の2社による共同開発により、gVisorでの分離の強化、Falcoでの脅威検知とコンテナアクティビティのロギングを同時に利用することができます。それによりコンテナセキュリティを飛躍的に改善できます。」

Falcoについて
Kubernetes、コンテナ、クラウドにわたる継続的なリスクと脅威の検出のためのオープンソースツールであるFalcoは、設定したルールに照らしてランタイムシステムコールを監視し、セキュリティアラートをトリガーします。Falcoは、Sysdigによって作成され、2018年にCNCFに寄稿されました。現在4500万以上のダウンロードと幅広い層の組織からの寄稿を獲得しています。Falcoは、予期せぬ動作、設定変更、侵入、データ盗難をリアルタイムに検出します。

Google gVisorについて
gVisorはGoogleが開発したアプリケーションカーネルです。コンテナの不完全なホストOSとの分離を、DockerやKubernetesのコンテナランタイムとして、システムコールをユーザースペースに実装することによって実現しています。

Falco-gVisor の統合がユーザーにとって意味すること
Falco-gVisorの統合により、gVisorユーザーは、すべてのアプリケーションではなく、各ホストを監視するための機器を用意するだけでよくなり、Falcoはコンテナとホストの両方を監視することができるようになりました。これには、Falcoのオープンソースコミュニティとともに開発され、SysdigとGoogle gVisorチームによるエンジニアリングの貢献がありました。
gVisorの強力な分離能力とFalcoの深い可視性を統合することで、ユーザーはワークロード内の異常な動作を検出することができ、gVisorが提供するコンテナサンドボックスにシステムコール監視を追加することができます。
「Falco gVisorインターフェースは、インフラに関するコンテキストを得るために新しいAPIを必要としないため、膨大な量の設定を追加することなく、徹底した防御を求めるあらゆるgVisorユーザにとって素晴らしいものです」と、Google社のソフトウェアエンジニア、Fabricio Voznika氏は述べています。
「今日のセキュリティ脅威は、様々な方向からやってきます。FalcoとgVisorは素晴らしい組み合わせで、コンテナにさらされるシステムサーフェイスを減らし、ワークロードレベルで何が起こっているかを可視化します」と、Sysdigのオープンソースエコシステム担当副社長のEdd Wilder-Jamesは述べています。「コンテナベースのアーキテクチャはFalcoを不可欠なものにしており、この機能がgVisorのユーザーにも提供されるようになったことを嬉しく思います。」

参考資料(英語)

  1. Getting started with gVisor support in Falco https://falco.org/blog/intro-gvisor-falco/
  2. gVisorでFalcoを設定する方法に関するチュートリアル https://gvisor.dev/docs/tutorials/falco

Sysdig Logo

Sysdigについて
クラウドでは、1秒1秒が重要です。攻撃は瞬時に進行します。その環境でセキュリティチームはビジネスを減速させることなくクラウドを保護しなければなりません。Sysdigは、ランタイムインサイトとオープンソースのFalcoによってリスクの変化を即座に検出し、クラウド攻撃をリアルタイムで阻止します。クラウドのワークロード、アイデンティティ、サービス全体のシグナルを相関させることで、隠れた攻撃経路を発見し、真のリスクに優先順位を付けます。予防から防御まで、Sysdigは企業が重要なこと、すなわち自社のイノベーションに集中できるよう支援します。SECURE EVERY SECOND. – Sysdigで1秒1秒をセキュアに