クラウドネイティブなアプリケーションに対する脅威を検知する「Falco」、Cloud Native Computing Foundationのインキュベーションプロジェクトに昇格

Kubernetesの開発などをホストしているCloud Native Computing Foundation（CNCF）は、クラウドネイティブなアプリケーションに対する脅威などを検知するソフトウェア「Falco」を、同団体のインキュベーションプロジェクトにすることを発表しました。

FalcoはセキュリティベンダーのSysdigが同社製品をベースにオープンソース化したものです。Kubernetes上で実行されているコンテナの動作をつねに監視し、外部からの不正な侵入が行われた場合やコンテナの不審な振る舞いを検知する機能を提供することで、クラウドネイティブなアプリケーションのセキュリティを確保できる機能を提供します。

例えばパッチの当たっていない脆弱性の存在や、脆弱性を引き起こすコンフィグレーションの設定、重要なクレデンシャルの露出などを検知するほか、不必要なポートに対するスキャンなどコミュニティベースでつねにアップデートされる不正な振る舞いの検出ルール、ユーザー自身によるルール設定ができ、違反した振る舞いが発見された場合にはすぐにアラートを飛ばす、といったことが可能です。

Falcoは2018年11月にCNCFの実験的プロジェクトと位置付けられるサンドボックス（Sandbox）プロジェクトとしてCNCF傘下となりました。それ以来積極的に開発が行われており、今回のインキュベーションプロジェクトとしてはAPIファーストなアーキテクチャの実現にフォーカスすると説明されています。下記はCNCFの発表文からの引用です。

While in the Incubator, Falco will focus on moving to an API-first architecture, which enables the community to begin developing integrations with other tools, including Prometheus, Envoy, and Kubernetes.

インキュベーター段階においては、FalcoはAPIファーストなアーキテクチャへ移行することにフォーカスすることで、PrometheusやEnvoy、Kubernetesといったほかのツールとの統合をコミュニティが行えるようになる。

Kubernetesに対応したアプリケーションは、複数のコンテナでそれぞれ実行されるサービスが連係して実現されるようになり、しかもコンテナは動的に増減するなど、従来のアプリケーションとは異なる構造を持ちます。そのため脆弱性や脅威の検出についても従来のアプリケーションに対するそれとは異なる仕組みが必要になってきます。

Falcoはそうした新しい仕組みを実現する最初の代表的な実装になりそうです。