容器安全廠商Sysdig,近期更新了自家開源應用程式監控工具Falco,釋出了0.13.0版。在今年10月時,CNCF基金會將Falco列入沙箱專案後,此工具也積極和Kubernetes擁抱,開始支援Kubernetes稽核事件功能(Kubernetes Audit Events)。

此功能在Kubernetes 1.11版時釋出,利用kube-apiserver元件,執行稽核任務,在Kubernetes內建的稽核功能,系統會按時間序列,紀錄使用者、系統管理員或元件,按照順序,紀錄其對系統產生影響的活動,每個執行階段發出的請求,都會形成單一事件記錄,並且寫入後端資料庫儲存,藉此協助維運人員,觀察觸發系統的人、事、時、地等資料。

原先,Falco只有將系統呼叫列入事件資料來源,而進一步整合Kubernetes,現在Kubernetes事件稽核功能則成為第二個資料來源,任何與Kubernetes叢集相關的操作,例如服務、Pod、部署的更動或刪除,都會留下Log紀錄。

在實際操作層面,維運人員必須先修改叢集之組態,搭配稽核日記、稽核規則設定,設定哪些事件必須額外傳遞至Falco進行監控,往後只要有相關可疑活動,Falco也會主動發布通知給管理者。

此外,Sysdig也因應Kubernetes稽核事件的整合需求,在Falco內新增了三種層級的規則。在第一層級內,系統會偵測是否有例外事件、可疑活動發生,包含叢集內是否有非法使用者、利用不合規定的映像檔建立Pod、建立特權Pod,或者Pod與敏感檔案系統介接等,此類恐影響叢集安全的事件,皆列入第一層級規則。

第二層級規則較為寬鬆,凡舉資源的建立、刪除活動,都會列入管理,像是部署、服務建置、命名空間,或者新角色帳號的建立等。最後一層規則,只要任何Falco收到的稽核事件都會觸發警報,因此,Sysdig將此功能預設關閉,避免對維運人員產生過多干擾。

而該公司近期也積極拓展公有雲市場,原先支援Azure、GCP的Sysdig,近日除了成為AWS合作夥伴網路的成員外,也一舉將解決方案也登上AWS市集,包含監控解決方案Sysdig Monitor、映像檔掃描工具Sysdig Secure,或者統包式解決方案Sysdig Platform,現在皆可直接在AWS市集購買。

在Sysdig加入AWS市集後,企業可選購的容器解決方案也愈加豐富。傳統資安大廠的解決方案如趨勢科技Deep Security、賽門鐵克Cloud Workload Protection,或者Fortinet的次世代防火牆,皆加強對容器工作負載的支援。至於容器新創公司的解決方案,除Sysdig外,Aqua Security、Twistlock、Aporeto,提供映像檔掃描、可疑活動偵測等服務。


Advertisement

更多 iThome相關內容