Это прошло как-то мимо меня, но у Falco появился конкурент в лице инструмента Tracee, который также базируется на eBPF и на правилах. Правила только пишутся на языке Rego (тот же что используется и в OPA).

О запуске в Kubernetes можно почитать в серии статей [1,2]. Правил пока немного и по мне они пока более простые, но при этом смапленные на "MITRE ATT&CK".

Хотя правила такие же бестолковые и требуют хорошей ручной доработки (которую все равно можно легко обойти). На пример, правило про K8S Service Account Token, требует, чтобы вы прописали все имена процессов, которым это разрешено. Для обхода достаточно залить свой файл с именем kube-proxy или coredns =) Есть правила которые почти как под копирку взяты из Falco - на пример про shell [1,2].

Также есть собственная утилита для алертинга Postee, аналог Falcosidekick. При этом можно сообщения слать сразу на второй, что может упростить использование этих двух решений одновременно, если кто-то так захочет.

k8s (in)security

Это прошло как-то мимо меня, но у Falco появился конкурент в лице инструмента Tracee, который также базируется на eBPF и на правилах. Правила только пишутся на языке Rego (тот же что используется и в OPA).

О запуске в Kubernetes можно почитать в серии статей [1,2]. Правил пока немного и по мне они пока более простые, но при этом смапленные на "MITRE ATT&CK".

Хотя правила такие же бестолковые и требуют хорошей ручной доработки (которую все равно можно легко обойти). На пример, правило про K8S Service Account Token, требует, чтобы вы прописали все имена процессов, которым это разрешено. Для обхода достаточно залить свой файл с именем kube-proxy или coredns =) Есть правила которые почти как под копирку взяты из Falco - на пример про shell [1,2].

Также есть собственная утилита для алертинга Postee, аналог Falcosidekick. При этом можно сообщения слать сразу на второй, что может упростить использование этих двух решений одновременно, если кто-то так захочет.

hottg.com/k8security/440

1.9K viewsD1g1, Nov 10, 2021 at 06:00