没有一种工具可以解决你所有的问题。知道Falco不能做什么与知道应该在哪里使用它同样重要。与其他工具一样,Falco的设计也存在权衡。首先,Falco不是一种通用的策略语言:它不提供完整的编程语言的表达能力,也不能在不同的引擎之间执行关联。相反,它的规则引擎被设计成在基础设施周围以较高的频率应用无状态的规则。如果你正在寻找一种强大的集中策略语言,我们建议你了解OPA( https://oreil.ly/nXYQI )。
其次,Falco的设计不是为了将收集到的数据存储在一个集中存储库,以便对其进行分析。Falco的规则验证都是在端点执行,并且只将警报发送到集中的位置。如果你的重点是高级分析和大数据查询,我们建议你了解市面上其他众多可用的日志收集工具。
最后,出于效率原因,Falco不检查网络负载内容。因此,它不是实现7层(L7)安全策略的合适工具。针对这种情况,传统的基于网络的入侵检测系统(IDS)或L7防火墙是更好的选择。