Statische Analyse und Image-Scanning reichen nicht aus. Runtime Security erkennt Anomalien in laufenden Containern und Prozessen.

Falco¶

Installation¶

helm repo add falcosecurity https://falcosecurity.github.io/charts helm install falco falcosecurity/falco

Custom rules¶

• rule: Crypto mining detected condition: spawned_process and proc.name in (xmrig, minerd) output: “Crypto miner detected (container=%container.name cmd=%proc.cmdline)” priority: CRITICAL
• rule: Sensitive file read condition: open_read and fd.name in (/etc/shadow, /etc/passwd) output: “Sensitive file read (file=%fd.name container=%container.name)” priority: WARNING

Tetragon — eBPF-basiert¶

Installation¶

helm install tetragon cilium/tetragon -n kube-system

Policy — unerwünschte Syscalls blockieren¶

apiVersion: cilium.io/v1alpha1 kind: TracingPolicy metadata: name: block-privileged-syscalls spec: kprobes: - call: __x64_sys_ptrace selectors: - matchActions: - action: Sigkill

Wichtigste Erkenntnis¶

Falco für Erkennung, Tetragon für Enforcement. Runtime Security ist die letzte Verteidigungslinie.