Auf der KubeCon werden immer wieder interessante neue Technologien vorgestellt und Kontakte geknüpft. Dieses Jahr sind wir unter anderem mit Sysig’s Falco in Berührung gekommen. Eine Open-Source Lösung für die Echtzeit-Sicherheitsüberwachung von Containern und Cloudnativen Umgebungen.

Die stetig wachsende Verbreitung von Containertechnologien und Cloud-native Architekturen hat die Art und Weise, wie Anwendungen entwickelt und bereitgestellt werden, revolutioniert. Mit den Vorteilen von Skalierbarkeit, Portabilität und Effizienz haben diese Technologien jedoch auch neue Herausforderungen im Bereich der Sicherheit mit sich gebracht. In diesem Beitrag werden wir einen genauen Blick auf Sysdig’s Falco werfen.

Funktionsweise und Anwendungen

Falco ist ein von Sysdig entwickeltes Open-Source-Projekt, das speziell für die Sicherheitsüberwachung in Containern und Cloud-native Umgebungen entwickelt wurde. Es basiert auf dem Konzept der Verhaltenserkennung und ermöglicht es, potenziell bösartige Aktivitäten in Echtzeit zu erkennen und darauf zu reagieren.

Falco nutzt den Linux-Kernel, um Systemaufrufe zu überwachen und abnormales Verhalten zu erkennen. Es analysiert die Aktivitäten innerhalb von Containern und Kubernetes-Clustern. Durch die Verwendung von vordefinierten Regeln und benutzerdefinierten Skripten kann Falco Anomalien und Sicherheitsverletzungen erkennen, wie z.B. ungewöhnliche Dateizugriffe, Prozessaktivitäten, Netzwerkkommunikation und vieles mehr.

Diese Regeln werden in YAML-Dateien definiert und integrieren sich so optimal in einen Infrastructure as Code (IaC) Ansatz mit Kubernetes, Docker und Terraform.

Bei Falco kommen mehrere Komponenten zum Einsatz. Das User Interface, mit dem Administratoren und Sicherheitsanalysten interagieren können. Es kann sich hierbei entweder um das Kommandozeilen Tool der Falco CLI handeln oder in einem Kubernetes Deployment „falcoctl“. Ebenfalls möglich ist eine GUI in Form eines Dashboards als oder ein anderes Monitoring Tool.

Falco Sidecar ist ein Falco-Agent in Form eines DaemonSets. Er kommt bei einem Kubernetes Deployment zum Einsatz. Der Agent wird auf jedem Knoten (Node) des Clusters bereitgestellt und ist dafür verantwortlich, die Verhaltenserkennung mit Falco auf Systemaufrufebene zu überwachen.

Die Falco Engine ist das Kernstück von Falco. Sie analysiert die Systemaufrufe des Linux Kernels, um verdächtige Aktivitäten zu erkenne. Wenn bestimmte Bedingungen erfüllt sind, werden die den Regeln entsprechenden Ereignisse ausgelöst.

Im Falle eines Einsatzes auf einem Linux Host, werden je nach verwendeten Plugins und Falco Libraries, sowie erstellten Regeln die Systemaufrufe von der „Rule Engine“ überwacht und die entsprechenden Daten an den „Falcosidekick“ weitergeleitet. Sie sind dann über die Falcosidekick-Ui einsehbar, oder können an Cloud Services wie AWS S3, Elasticsearch oder auch per E-Mail ausgegeben werden.

Quelle: https://sysdig.com/wp-content/uploads/Getting-started-with-Falco-02.png

Obwohl Falco ursprünglich für Container- und Kubernetes Umgebungen entwickelt wurde, kann es auch in Serverless Architekturen eingesetzt werden. Für AWS Lambda beispielsweise muss Falco in die Lambda-Pakete oder -Images integriert werden. Falco Regeln können ebenfalls angepasst werden, um auf Serverless-spezifische Aktionen, wie zum Beispiel unerlaubte Netzwerkverbindungen zu achten. Allgemein ist die Integration von Falco in Serverless Anwendungen jedoch mit mehr Konfigurationsarbeit verbunden als die Integration in Container- und Kubernetes Umgebungen.

Falco Warnungen
Die folgende Warnung stellt ein Template für die Öffnung einer nicht authorisierten Shell innerhalb eines Containers da. Die Warnung kann entweder per Console Log, per E-Mail oder über andere Wege überbracht werden:

Die Vorteile von Falco

Folgende Vorteile sehen wir in Falco:

• Echtzeit-Sicherheitsüberwachung: Falco bietet eine Echtzeit-Überwachung von Sicherheitsvorfällen, was eine schnelle Erkennung und Reaktion auf Bedrohungen ermöglicht.
• Container- und Cloud-native Fokussierung: Falco ist speziell für Container- und Cloud-native Umgebungen entwickelt und berücksichtigt die Besonderheiten dieser Architekturen.
• Anpassbare Regeln: Die Regeln von Falco sind anpassbar, was es ermöglicht, die Sicherheitsüberwachung an die spezifischen Anforderungen einer Organisation anzupassen.
• Integration mit bestehenden Werkzeugen: Falco kann nahtlos in vorhandene Sicherheitsinfrastrukturen integriert werden und unterstützt verschiedene Benachrichtigungsmechanismen wie Slack, E-Mail und Syslog.
• Aktive Community: Falco profitiert von einer aktiven Open-Source-Community, die ständig neue Funktionen entwickelt und Support bietet.

Nachteile von Falco

Allerdings sehen wir auch folgende Nachteile bei Falco:

• Skalierbarkeit: Bei großen Kubernetes-Clustern mit vielen Knoten kann die Überwachung aller Ereignisse durch Falco eine hohe Ressourcennutzung erfordern. Eine sorgfältige Skalierungsplanung und Ressourcenoptimierung sind erforderlich, um sicherzustellen, dass Falco effizient arbeitet.
• Abhängigkeit von Linux-Kernel-Funktionen: Falco basiert auf der Überwachung von Linux-Systemaufrufen und ist stark vom Linux-Kernel abhängig. In einigen speziellen Umgebungen oder Plattformen, die nicht auf Linux basieren, kann die Nutzung von Falco eingeschränkt sein.

Anwendungsfälle für Falco

Wir sehen daher folgende Anwendungsfälle bei Falco identifiziert:

• Bedrohungserkennung: Falco kann helfen, bösartige Aktivitäten wie Angriffe, unbefugten Zugriff oder Schadsoftware innerhalb von Containern und Cloud-native Umgebungen zu erkennen.
• Compliance-Überwachung: Falco kann sicherstellen, dass die Sicherheitsrichtlinien und Compliance-Anforderungen einer Organisation eingehalten werden, indem es verdächtige Aktivitäten identifiziert und protokolliert.
• Forensische Analysen: Falco liefert detaillierte Informationen über Sicherheitsvorfälle, was bei der Untersuchung und Behebung von Vorfällen hilfreich ist.

Proprietäre Version: Sysdig Secure

Sysdig bietet eine proprietäre Version von Falco namens “Sysdig Secure”. Sysdig Secure ist eine erweiterte Sicherheitsplattform, die auf dem Open-Source-Projekt Falco aufbaut. Es enthält zusätzliche Funktionen und erweiterte Möglichkeiten für die Sicherheitsüberwachung und -analyse in Container- und cloud-nativen Umgebungen.

Sysdig Secure bietet beispielsweise erweiterte Funktionen wie umfassendes Schwachstellenmanagement, Image-Scanning, Compliance-Überwachung, Laufzeitabsicherung, forensische Analysen und Netzwerksichtbarkeit, wohingegen sich Falco auf die Erkennung von Sicherheitsverletzungen und Anomalien zur Laufzeit beschränkt. Es integriert sich nahtlos in bestehende Sicherheitsinfrastrukturen und bietet erweiterte Benachrichtigungs- und Reporting-Funktionen.

Falco ist primär auf die Echtzeit-Verhaltenserkennung und die Sicherheitsüberwachung in Container- und Cloud-nativen Umgebungen ausgerichtet. Die erweiterten Funktionen, die in Sysdig Secure verfügbar sind, richten sich an Organisationen, die eine umfassendere Sicherheitslösung benötigen. Somit ist Sysdig Secure eine Alternative zum Aufbau einer eigenen Lösung mit Falco. Es ist wichtig anzumerken, dass die Kernfunktionen und die Verhaltenserkennung von Falco als Open-Source-Projekt weiterhin verfügbar bleiben und von der Community weiterentwickelt werden.

Vergleich mit Aqua Security

Im Folgenden möchte ich die Unterschiede zwischen Falco und Aqua Security hervorheben, konkret zwischen Aqua Trivy und Falco, sowie Aqua CSP (Cloud Security Posture Management) und Sysdig Secure. Aqua Security ist die wohl am weitesten verbreitete Sicherheitsplattform für Container und Cloud-nativen Umgebungen und setzt in gewisser Weise die Standards, wenn es um Cluster Sicherheit geht.

Ähnlich wie Falco handelt es sich bei Aqua Trivy um eine Open-Source Lösung. Trivy ist ein Sicherheitsscanner, der sich auf die Überprüfung von Container-Images spezialisiert. Ähnlich wie bei Falco ist auch bei Trivy der Fokus deutlich auf Schwachstellenmanagement sowie Identifizierung von Sicherheitslücken.

Wobei Trivy darauf setzt, Fehler zu erkennen, bevor der Container gestartet wird und Falco diese im laufenden Betrieb in Echtzeit analysiert und erkennt.

Beide Lösungen stehen kostenlos zur Verfügung, unterscheiden sich jedoch maßgeblich in ihrer Funktionsweise. Aqua Trivy ist ein Werkzeug im Entwicklungsprozess zur Gewährleistung der Sicherheit von Container-Images, bevor diese in Produktionsumgebungen eingesetzt werden. Es wird hauptsächlich in CI/CD Pipelines eingesetzt, um Container-Images auf Schwachstellen zu prüfen.

Sysdig Falco kommt hingegen erst in der Produktionsumgebung zum Einsatz, indem es Container-Aktivitäten zur Laufzeit überwacht, um Bedrohungen und Anomalien zu erkennen. Trivy und Falco ergänzen sich so eher in ihrer Funktionsweise, als dass sie direkte Konkurrenzprodukte darstellen.

Aqua CSP ist eher vergleichbar mit Sysdig Secure, indem es eine vollständige Sicherheitsplattform darstellt. Sie geht ähnlich wie Sysidg Secure weit über die Überwachung von Containern heraus und bietet eine deutlich umfassendere Sicherheitslösung von für Cloud-Native Umgebungen bereit. Sysdig Secure spezialisiert sich vor allem auf die Sicherheit und Überwachung von Kubernetes Clustern und die Erkennung von Sicherheitsverletzungen, sowie die laufende Überwachung von Container-Aktivitäten. Aqua CSP legt den Schwerpunkt eher auf Sicherheit und Compliance von Cloud-Nativen Umgebungen. Es hat eine weite Auswahl von Sicherheitsfunktionen, ähnlich wie Sysdig Secure, zielt aber mehr darauf ab, die gesamten Sicherheitsanforderungen von Cloud-Nativen Umgebungen abzudecken.

Beide Lösungen erfordern den Erwerb einer Lizenz und ähneln sich in Ihren Anwendungsszenarien, jedoch mit leicht verschobenen Schwerpunkten.

Pro Sysdig

• Fokus auf Echtzeit-Verhaltenserkennung
• Anpassbare Regeln: Falco ermöglicht es Benutzern, Regeln anzupassen und benutzerdefinierte Regeln zu erstellen. Dadurch kann die Sicherheitsüberwachung an die spezifischen Anforderungen einer Organisation angepasst werden.
• Flexibilität bei der Integration: Falco bietet verschiedene Integrationsoptionen mit bestehenden Tools und Benachrichtigungsdiensten wie Slack, E-Mail und Syslog. Dadurch kann es nahtlos in die bestehende Sicherheitsinfrastruktur integriert werden.
• Aktive Open-Source-Community: Falco profitiert von einer aktiven Open-Source-Community, die kontinuierlich neue Funktionen entwickelt, Fehler behebt und Support bietet. Die Community sorgt für regelmäßige Updates und kontinuierliche Verbesserungen von Falco.

Pro Aqua Security

• Umfassenderes Sicherheitsökosystem
• Benutzerfreundlichkeit: Aqua Security bietet eine intuitive Benutzeroberfläche und eine benutzerfreundliche Erfahrung, die es Benutzern erleichtert, die Sicherheitsfunktionen zu verstehen und zu verwalten.
• Plattformunabhängigkeit: Aqua Security unterstützt mehrere Container-Laufzeitumgebungen und kann auch für nicht-Linux-Plattformen geeignet sein. Falco hingegen ist stärker auf Linux-Kernel-Funktionen angewiesen und kann daher in einigen spezifischen Umgebungen eingeschränkt sein.
• Skalierbarkeit: Bei großen Kubernetes-Clustern mit vielen Knoten kann die Überwachung aller Ereignisse durch Falco eine hohe Ressourcennutzung erfordern. Aqua Security bietet möglicherweise bessere Skalierungsfunktionen und Leistungsoptimierungen für große Umgebungen.

Fazit

Die Sicherheit von Containern und Cloud-nativen Umgebungen ist von entscheidender Bedeutung, und Sysdig’s Falco bietet eine leistungsstarke Lösung, um diese Herausforderungen anzugehen. Durch die Echtzeit-Sicherheitsüberwachung und die Erkennung von Anomalien ermöglicht Falco eine proaktive Reaktion auf Bedrohungen und hilft Unternehmen, ihre Infrastrukturen sicherer zu machen. Mit seiner aktiven Community und der Flexibilität zur Anpassung an individuelle Anforderungen ist Falco eine wertvolle Ergänzung für jedes Sicherheits-Toolkit in der Welt der Container und Cloud-nativen Architekturen.