Falcoの脅威検知機能をGoogle gVisor環境監視のセキュリティツールとして拡張することで高感度なワークロードの監視が可能に

gVisorのユーザーは、コンテナワークロードのセキュリティとアラートの強化にFalcoを実行できるようになりました

サンフランシスコ発 -- 2022年9月15日 - 統合コンテナおよびクラウドセキュリティのリーダーであるSysdig（シスディグ）は本日、オープンソースのFalco脅威検知がアプリケーションカーネルであるGoogle gVisorの環境を監視する最初のセキュリティツールになったことを発表しました。Google gVisor（以下gVisor）は、セキュアな方法としてカーネルを厳密に分離する事でアプリケーションを実行します。一方、分離が追加されたことにより、ツールでセキュリティイベントを監視することができなくなる課題がありました。今回のFalco-gVisorの統合により、この課題が解決され、ユーザーはgVisorからセキュリティイベントを収集・分析することが可能になります。株式会社メルカリのシニアセキュリティエンジニア、末澤 裕希氏は、「gVisorはコンテナアプリケーションとホストOSを安全に分離してくれますが、それゆえにホストカーネルのシステムコールをモニタリングするFalcoの利用ができませんでした。」と述べています。「メルカリはFalcoを脅威検知とコンテナアクティビティのロギングのために使用しており、Falcoのルールエンジンのパワーと柔軟性を実感しています。今回の2社による共同開発により、gVisorでの分離の強化、Falcoでの脅威検知とコンテナアクティビティのロギングを同時に利用することができます。それによりコンテナセキュリティを飛躍的に改善できます。」Falcoについて：Kubernetes、コンテナ、クラウドにわたる継続的なリスクと脅威の検出のためのオープンソースツールであるFalcoは、設定したルールに照らしてランタイムシステムコールを監視し、セキュリティアラートをトリガーします。Falcoは、Sysdigによって作成され、2018年にCNCFに寄稿されました。現在4500万以上のダウンロードと幅広い層の組織からの寄稿を獲得しています。Falcoは、予期せぬ動作、設定変更、侵入、データ盗難をリアルタイムに検出します。Google gVisorについて：gVisorはGoogleが開発したアプリケーションカーネルです。コンテナの不完全なホストOSとの分離を、DockerやKubernetesのコンテナランタイムとして、システムコールをユーザースペースに実装することによって実現しています。Falco-gVisor の統合がユーザーにとって意味することFalco-gVisorの統合により、gVisorユーザーは、すべてのアプリケーションではなく、各ホストを監視するための機器を用意するだけでよくなり、Falcoはコンテナとホストの両方を監視することができるようになりました。これには、Falcoのオープンソースコミュニティとともに開発され、SysdigとGoogle gVisorチームによるエンジニアリングの貢献がありました。gVisorの強力な分離能力とFalcoの深い可視性を統合することで、ユーザーはワークロード内の異常な動作を検出することができ、gVisorが提供するコンテナサンドボックスにシステムコール監視を追加することができます。「Falco gVisorインターフェースは、インフラに関するコンテキストを得るために新しいAPIを必要としないため、膨大な量の設定を追加することなく、徹底した防御を求めるあらゆるgVisorユーザにとって素晴らしいものです」と、Google社のソフトウェアエンジニア、Fabricio Voznika氏は述べています。「今日のセキュリティ脅威は、様々な方向からやってきます。FalcoとgVisorは素晴らしい組み合わせで、コンテナにさらされるシステムサーフェイスを減らし、ワークロードレベルで何が起こっているかを可視化します」と、Sysdigのオープンソースエコシステム担当副社長のEdd Wilder-Jamesは述べています。「コンテナベースのアーキテクチャはFalcoを不可欠なものにしており、この機能がgVisorのユーザーにも提供されるようになったことを嬉しく思います。」

参考資料（英語）

1. Getting started with gVisor support in Falco https://falco.org/blog/intro-gvisor-falco/
2. gVisorでFalcoを設定する方法に関するチュートリアル https://gvisor.dev/docs/tutorials/falco