Curso de runtime security en hosts, containers, Kubernetes y cloud con Falco

Autor: Vicente Herrera - @v1z3n
Nivel: Intermedio
Requisitos: Conocimientos básicos de containers y Kubernetes
Conocimientos: Falco MITRE Kubernetes runtime security Cloud runtime security

Introducción

Falco es un sistema open source coordinado por la Cloud Native Computing Foundation (CNCF) (la misma que coordina Kubernetes) para implementar runtime security a nivel de operaciones de kernel en hosts y containers, a nivel de audit log en Kubernetes, y a nivel de comandos de proveedores cloud como AWS. Se basa en un sistema de reglas que son evaluadas contra un buffer circular que almacena todas las operaciones o entradas de log conforme van llegando, en caso de una coincidencia se emite una alerta de salida que puede ser procesada. De esta forma, las reglas escritas en lenguaje también llamado Falco definen las situaciones a detectar, y estas no requieren almacenar permanentemente un log sobre el que hacer consultas, sino que son procesadas al vuelo, y solo las detecciones tendrías que ser almacenadas.

Grabé este curso a principios de 2021 para ser utilizado por estudiantes en cyberseguridad, en colaboración con Quantika 14 cuando trabajaba en Sysdig, la empresa que originalmente creó Falco y lo donó a la CNCF.

En el mundo de los containers y Kubernetes el tiempo pasa muy rápido, y para finales de 2021 (fecha en la que publico en abierto este contenido), ya hay muchas cosas que han cambiado. Los contenidos de la sección 8.1 y 8.2 en especial son ahora totalmente diferentes, con el nuevo modelo de plugins de Falco que permiten detecciones de comandos cloud usando el proyecto open source. Los conceptos fundamentales y teóricos permanecen y serán de utilidad a cualquiera que quiera conocer más en general sobre seguridad runtime en containers, Kubernetes y cloud.

El contenido está formado por videos, acompañados de la presentación utilizada en cada uno en formato PDF para poder consultar con detalle las referencias. Algunos videos son demostraciones prácticas, por lo que los PDFs tan solo incluiran una breve introducción en esos casos.

Contenidos

Curso Falco
0. Metodología y requisitos
1. Runtime security e introducción a Falco
2.1. Falco para segurida en kernel
2.2. Instalación práctica de Falco
3.1. Sintaxis de reglas de Falco
3.2. Creando una nueva regla
4. MITRE ATT&CK matrix y reglas
5. Servicios gestionados de Falco
6.1. Falco para Kubernetes
6.2. Despliegue de Falco en Kubernetes
7. Utilidades adicionales
8.1. Falco en Cloud Connector
8.2. Instalación y uso Cloud Connector

Playlist todos los videos