购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

第3章
深入理解Falco架构

欢迎进入本书的第二部分!在第一部分中,你已经了解了Falco的基础知识及其功能。同时,我们也展示了Falco的高级架构,并将其安装到本地机器上进行试用。现在是时候进入下一阶段了!

在这一部分(第3章~第8章),我们将介绍Falco的内部工作原理。你将更详细地了解它的架构,包括它的主要组件以及数据如何在它们之间流动。我们将向你展示Falco如何与操作系统内核和云日志进行集成以收集数据,以及如何使用上下文和元数据扩充这些数据。第6章将介绍重要的字段和过滤器主题,第7章将详细讲述Falco规则。第8章将讨论输出框架。

为了运行和维护Falco,你真的需要了解它的内部结构吗?像生活中经常发生的各种事情那样,答案是“视情况而定”。如果你的目标只是在默认配置下部署Falco,并向老板展示它在正常工作,那么可以跳过本书的这一部分。然而,这样做会使你对特定内容的理解变得困难。例如,在第三和第四部分中,我们将介绍:

· Falco输出解读

· 判断警报是否为假阳性

· 微调Falco提高准确性

· 精确适配你的环境

· 自定义和扩展Falco

所有这些任务都要求你真正理解Falco及其架构背后的核心概念,而这正是我们在这里要帮助你完成的。

真正的安全绝不是微不足道的。这需要一种深层次的投资,但这种投资通常是有回报的,因为它可以决定你的系统是否安全,你的公司是否会因为这些错误而出现在新闻中。

假设我们已经说服了你,那就开始吧。图3-1描述了一个典型Falco传感器部署的主要组件。

图3-1:Falco传感器部署的高层级架构

图3-1中描述的架构反映了各组件在Falcosecurity GitHub开源项目( https://oreil.ly/ClRJj )的代码结构。在这个粒度级别上的主要组件包括:

Falco

Falco库( https://oreil.ly/6CbQH )负责收集传感器将要处理的数据。它们同时也管理状态,并不断扩充收集到的数据。

插件

插件( https://oreil.ly/9Jyi8 )通过额外的数据源扩展了传感器。例如,插件可以使Falco使用AWS CloudTrail和Kubernetes审计日志作为数据源。

Falco

这是主要的传感器可执行文件( https://oreil.ly/2IQkj ),包括规则引擎。

Falcosidekick

Falcosidekick( https://oreil.ly/lmOie )负责路由通知并将传感器连接到外部世界。

在图3-1中的组件中,Falco和Falco库是必需的,而Falcosidekick和插件是可选的,你可以根据自己的部署策略和需求安装它们。 GWNod4x7ia5yTirOamRRQskylYNPkWyZNDsWtuyRn7ggdBtjkJ69Kr0dpMkUwe6r

点击中间区域
呼出菜单
上一章
目录
下一章
×