應用程式監控工具Falco 0.13.0版釋出，支援Kubernetes稽核事件功能

容器安全廠商Sysdig，近期更新了自家開源應用程式監控工具Falco，釋出了0.13.0版。在今年10月時，CNCF基金會將Falco列入沙箱專案後，此工具也積極和Kubernetes擁抱，開始支援Kubernetes稽核事件功能（Kubernetes Audit Events）。

此功能在Kubernetes 1.11版時釋出，利用kube-apiserver元件，執行稽核任務，在Kubernetes內建的稽核功能，系統會按時間序列，紀錄使用者、系統管理員或元件，按照順序，紀錄其對系統產生影響的活動，每個執行階段發出的請求，都會形成單一事件記錄，並且寫入後端資料庫儲存，藉此協助維運人員，觀察觸發系統的人、事、時、地等資料。

原先，Falco只有將系統呼叫列入事件資料來源，而進一步整合Kubernetes，現在Kubernetes事件稽核功能則成為第二個資料來源，任何與Kubernetes叢集相關的操作，例如服務、Pod、部署的更動或刪除，都會留下Log紀錄。

在實際操作層面，維運人員必須先修改叢集之組態，搭配稽核日記、稽核規則設定，設定哪些事件必須額外傳遞至Falco進行監控，往後只要有相關可疑活動，Falco也會主動發布通知給管理者。

此外，Sysdig也因應Kubernetes稽核事件的整合需求，在Falco內新增了三種層級的規則。在第一層級內，系統會偵測是否有例外事件、可疑活動發生，包含叢集內是否有非法使用者、利用不合規定的映像檔建立Pod、建立特權Pod，或者Pod與敏感檔案系統介接等，此類恐影響叢集安全的事件，皆列入第一層級規則。

第二層級規則較為寬鬆，凡舉資源的建立、刪除活動，都會列入管理，像是部署、服務建置、命名空間，或者新角色帳號的建立等。最後一層規則，只要任何Falco收到的稽核事件都會觸發警報，因此，Sysdig將此功能預設關閉，避免對維運人員產生過多干擾。

而該公司近期也積極拓展公有雲市場，原先支援Azure、GCP的Sysdig，近日除了成為AWS合作夥伴網路的成員外，也一舉將解決方案也登上AWS市集，包含監控解決方案Sysdig Monitor、映像檔掃描工具Sysdig Secure，或者統包式解決方案Sysdig Platform，現在皆可直接在AWS市集購買。

在Sysdig加入AWS市集後，企業可選購的容器解決方案也愈加豐富。傳統資安大廠的解決方案如趨勢科技Deep Security、賽門鐵克Cloud Workload Protection，或者Fortinet的次世代防火牆，皆加強對容器工作負載的支援。至於容器新創公司的解決方案，除Sysdig外，Aqua Security、Twistlock、Aporeto，提供映像檔掃描、可疑活動偵測等服務。