Post by Hozhabr Khazraei

یک ابزار جدیدی که امنیت دنیای cloud native رو متحول کرده Falco هست. در دنیای سرورهای سنتی، ما از ابزارهای EDR جهت مانیتور کردن فرآیندها، فایل‌سیستم، شبکه و رفتارهای مشکوک روی سیستم عامل بهره میبریم. در کوبرنتیز، Endpoint دیگر یک سرور فیزیکی یا یک ماشین مجازی ساده نیست؛ بلکه یک موجودیت پویا به نام پاد و کانتینر است. اگر یک EDR سنتی روی نود کوبرنتیز نصب شود، فقط می‌گوید «پروسس X روی سرور اجرا شد» و اصلاً نمی‌فهمد پاد چیست، Namespace کدام است یا کدام دپلویمنت این کار را کرده. اما Falco یک Kubernetes-aware EDR است؛ یعنی به محض دیدن جرم، آدرس دقیق کانتینر و پاد را در ساختار کوبرنتیز به شما می‌دهد. ابزار Falco با بهره گیری از eBPF و با گوش دادن به syscall ها در سطح کرنل لینوکس رفتار های مشکوک را شناسایی کرده و Alert میدهد و توانایی ارسال به SIEM رو هم دارد. مزیت دیگه Falco وجود rule های از پیش نوشته شده بر اساس استاندارد های PCI-DSS و NIST هست که کار ما رو به شدت راحت میکنه و این مزیتی هست که این ابزار نسبت به Cilium Tetragon داره. تنها ایرادش نبود سیستم prevention هست که اون هم توسط پروژه دیگه ای به اسم falco-talon به طور کامل قابل پوشش است. ابزار falco-talon توانایی action روی کلاستر کوبرنتز را بر اساس event هایی که از falco دریافت میکنه رو داره. تمام!!! 😄 https://lnkd.in/eWiTjx_U https://lnkd.in/evhi9VWt #devsecops