Falco

Name: Falco
Brand: Yandex Cloud

Обновлено 17 июля 2025 г.

The Falco Project предназначен для обеспечения безопасности работы операционных систем на базе Linux.

Приложение Falco:

парсит системные вызовы ядра Linux во время выполнения;
анализирует сигналы с помощью настраиваемого набора правил;
выдает предупреждение при нарушении заданных правил.

Чтобы использовать Falco, установите Kyverno & Kyverno Policies или другой продукт, который поддерживает запись результатов в wg-policy-prototypes.

Инструкция по развертыванию

Чтобы установить Falcosidekick для передачи событий мониторинга через Policy Adapter в модуль сбора данных, использующийся для результатов работы политик Kyverno:
1. Установите kubectl и настройте его на работу с кластером.
2. Создайте группу узлов для работы Falco.
3. Установите Kyverno & Kyverno Policies или следующие CRD:
```
kubectl create -f https://github.com/kubernetes-sigs/wg-policy-prototypes/raw/master/policy-report/crd/v1alpha2/wgpolicyk8s.io_clusterpolicyreports.yaml && \
kubectl create -f https://github.com/kubernetes-sigs/wg-policy-prototypes/raw/master/policy-report/crd/v1alpha2/wgpolicyk8s.io_policyreports.yaml
```
Задайте настройки приложения:
- Пространство имен — создайте новое пространство имен (например, falco-space). Если вы оставите пространство имен по умолчанию, Falco может работать некорректно.
- Название приложения — укажите название приложения.
Нажмите кнопку Установить.
Дождитесь перехода приложения в статус Deployed.

Примеры использования

Отслеживание потенциальных угроз в кластере Kubernetes:

Превышение привилегий контейнеров и пространств имен.
Операции чтения и записи системных директорий (/etc, /usr/bin, /usr/sbin).
Непредвиденные сетевые соединения.
Выполнение скриптов (sh, bash, csh, zsh), а также системных утилит (ssh, scp, sftp).
Непредвиденные изменения в исполняемых модулях ядра Linux.

Полезные ссылки

Документация Falco

Техническая поддержка

Служба технической поддержки Yandex Cloud отвечает на запросы 24 часа в сутки, 7 дней в неделю. Доступные виды запросов и срок их обработки зависят от тарифного плана. Подключить платную поддержку можно в консоли управления. Подробнее о порядке оказания технической поддержки.

Состав продукта

Helm-чарт	Версия	Pull-команда	Документация
falco	2.2.5		Открыть

Docker-образ	Версия	Pull-команда
falcosecurity/falco-no-driver	v0.33.1
falcosecurity/falco-driver-loader	v0.33.1
falcosecurity/falcosidekick	v2.26.1

Лицензионное соглашение

Используя данный продукт, вы соглашаетесь с Условиями использования Yandex Cloud Marketplace