รู้จักกับ Sysdig falco ระบบ Open Source สำหรับตรวจสอบพฤติกรรมผิดปกติบน Server ที่รองรับ Container ได้ด้วยในตัว

สำหรับผู้ที่กำลังมองหาหนทางเสริมความปลอดภัยให้กับ Server หรือ Application อยู่ ทาง Sysdig ได้ประกาศเปิดตัวโครงการ falco ระบบ Open Source สำหรับทำ Behavioral Activity Monitoring หรือการตรวจจับพฤติกรรมผิดปกติต่างๆ ที่จะเกิดขึ้นให้เราได้ใช้กันฟรีๆ แล้ว

falco นี้ครอบคลุมการตรวจสอบพฤติกรรมของทั้ง Container, Application, Host และ Network ได้อย่างครอบคลุม เรียกได้ว่าพอจะนำมาใช้แทน snort, ossec และ strace ได้เลยในตัวเดียว อีกทั้งยังมีจุดเด่นที่น่าสนใจเสริมขึ้นมาจากโซลูชั่นอื่นๆ ดังนี้

ระบบ File Integrity Monitoring โดยตรวจสอบพฤติกรรมการเขียนไฟล์ แทนที่จะต้องทำ Hash เทียบอยู่ตลอดเวลา ทำให้ประหยัด Resource ในการประมวลผลไปเป็นอย่างมาก
ระบบ Network Monitoring ที่ระดับของ Host เอง ช่วยให้ระบบที่ใช้ VM และ Container นั้นยังคงถูกติดตามพฤติกรรมทางด้านระบบเครือข่ายได้อยู่ตลอด
ใช้งานง่ายนกว่า SELinux และ AppArmor แต่ก็แลกมาด้วยความสามารถในการ Detect ได้อย่างเดียว ไม่สามารถ Enforce ได้

ใครที่สนใจก็เข้าไปศึกษารายละเอียดเพิ่มเติมหรือทดลองใช้งาน falco ได้ที่ https://github.com/draios/falco เลยนะครับ หรือจะเข้าไปเยี่ยมชมเว็บหลักที่ http://www.sysdig.org/falco/ ก็ได้เช่นกันครับ