Falco

The Falco Project предназначен для обеспечения безопасности работы операционных систем на базе Linux.

Приложение Falco:

• парсит системные вызовы ядра Linux во время выполнения;
• анализирует сигналы с помощью настраиваемого набора правил;
• выдает предупреждение при нарушении заданных правил.

Чтобы использовать Falco, установите Kyverno & Kyverno Policies или другой продукт, который поддерживает запись результатов в wg-policy-prototypes.

1. Чтобы установить Falcosidekick для передачи событий мониторинга через Policy Adapter в модуль сбора данных, использующийся для результатов работы политик Kyverno:

   1. Установите kubectl и настройте его на работу с кластером.

   2. Создайте группу узлов для работы Falco.

   3. Установите Kyverno & Kyverno Policies или следующие CRD:

      kubectl create -f https://github.com/kubernetes-sigs/wg-policy-prototypes/raw/master/policy-report/crd/v1alpha2/wgpolicyk8s.io_clusterpolicyreports.yaml && \
      kubectl create -f https://github.com/kubernetes-sigs/wg-policy-prototypes/raw/master/policy-report/crd/v1alpha2/wgpolicyk8s.io_policyreports.yaml
      

2. Задайте настройки приложения:

   • Пространство имен — выберите пространство имен или создайте новое.
   • Название приложения — укажите название приложения.

3. Нажмите кнопку Установить.

4. Дождитесь перехода приложения в статус Deployed.

Отслеживание потенциальных угроз в кластере Kubernetes:

• Превышение привилегий контейнеров и пространств имен.
• Операции чтения и записи системных директорий (/etc, /usr/bin, /usr/sbin).
• Непредвиденные сетевые соединения.
• Выполнение скриптов (sh, bash, csh, zsh), а также системных утилит (ssh, scp, sftp).
• Непредвиденные изменения в исполняемых модулях ядра Linux.

Служба технической поддержки Yandex Cloud отвечает на запросы 24 часа в сутки, 7 дней в неделю. Доступные виды запросов и срок их обработки зависят от тарифного плана. Подключить платную поддержку можно в консоли управления. Подробнее о порядке оказания технической поддержки.