大規模Cloud Native環境におけるFalcoの運用

Transcript

1. 1 大規模Cloud Native環境における Falcoの運用 2025/12/16 Cloud Native Security Japan Meetup

   長谷川千広 / Maximilian Frank

2. 2 Threat Detection and Responseチーム所属 アラート対応やインシデントレスポンス、 SOARの開発運用などに従事 Maximilian Frank Threat

   Detection and Responseチーム所属 アラート対応やインシデントレスポンス システムデザイン、開発など担当 長谷川 千広

3. 3 Falcoとは 目次 Falcoのデプロイ戦略 Falco活用のための取り組み まとめ 02 03 04 01

4. 4 Falcoとは

5. 5 Falcoとは “コンテナやクラウドネイティブ環境のためのリアルタイムな脅威検知エンジン ” https://falco.org/about/

6. 6 Falcoの仕組み eBPFやプラグインを用いて、ワークロードのイベントを取得 https://falco.org/

7. 7 FalcosidekickでFalcoのアラートを転送 https://falco.org/docs/concepts/outputs/forwarding/

8. 8 コンテナ内のシェル起動を検知するルール https://falco.org/docs/reference/rules/examples/

9. 9 例外の定義方法 https://falco.org/docs/reference/rules/examples/

10. 10 ルールの上書き https://falco.org/docs/concepts/rules/overriding/

11. 11 Falcoルールの管理 • インデックスの管理 ◦ ダウンロードするルールを設定 ▪ https://falcosecurity.github.io/falcoctl/index.yaml ▪ インデックスファイルは、様々な方法で管理可能

    • ローカルファイル • HTTP経由 • GCS（Google Cloud Storage）、Amazon S3…etc • ルールの実体の管理 ◦ 複数ファイルで管理されているルールや例外を1つのファイルに集約 ◦ OCI（Open Container Initiative）互換のあるレジストリで管理 falcosecurity/falcoctl を用いてルールやプラグインを管理 https://github.com/falcosecurity/falcoctl

12. 12 Falcoのデプロイ戦略

13. 13 メルカリの多様なサービスの運用環境 平均Falco Pod数 • 3500 対象クラスター • 現在 16

    コンテナワークロードの種 類 • API • ETL • ブロックチェーン • セキュリティ • AIなど...

14. 14 大規模環境における Falcoの運用課題 クラスター管理と登録 どのように監視するクラスタを 管理すれば良いか ルールの作成とデプロイ 検知ルールをどのように デプロイするか Falco

    のデプロイ 様々なクラスターにFalcoを どのようにデプロイするか モニタリング Falco自体が正しく動作していること をどのように監視するか

15. 15 クラスター登録とリソース作成

16. 16 Falcoルールのデプロイ

17. 17 Falcoの展開プロセス

18. 18 Falcoの稼働監視 監視のための監視も欠かせない • 能動的 • 全Falco Podのメトリクス収集が必須 • 多数のコレクターの展開が必須

    • 受動的 • アラートと同じ流れでメトリクスを受信 • シンプルなデプロイ構成 プル型 プッシュ型 採　用 不採用

19. 19 Falco活用のための取り組み

20. 20 ルールや例外の構造的な管理 • クラスター ◦ 本番環境、開発環境、検証環境など • システム ◦ GKEなど

    • アプリケーション ◦ Elasticsearch, ArgoCD, Isito など “ルールや例外は、カテゴリで分けることで、管理を容易に ”

21. 21 ルールや例外の構造的な管理

22. 22 例外の追加や更新の方針 • 検知したものが意図せず例外に入ってしまうことを防ぐために、例外は狭く記載する ことが望ましい • 拡張性も意識し、リストやマクロを活用 ◦ 例外の対象にする要素が複数ある場合は、リストを用いて例外条件を記載する ◦

    複雑な条件はマクロを定義し、再利用する “なるべく狭く、けれど拡張性も意識 ”

23. 23 例外の追加や更新の方針 悪い例外の書き方

24. 24 例外の追加や更新の方針 悪い例外の書き方

25. 25 例外の追加や更新の方針 良い例外の書き方 「=」演算子に変更し、Manifestファイルに 定義されているコマンドに完全一致させる startswith演算子に変更し、動的に生成される Pod名に対応

26. 26 Falcoアラートのハンドリング ルールのoutputだけを見ても、誰が、何のためにやったのか分からない

27. 27 Falcoアラートのハンドリング • 本番環境利用のためのアクセス権限申請をする 社内サービスの情報を追加 ◦ コンテナ内における操作の背景確認が容易に ◦ Zero Touch

    Productionへの移行 • GKE上で動作しているためGoogle Cloud自体や K8s監査ログなどの情報も活用 ◦ container.idやproject名の特定など • Google Workflowsを活用して、アラートを管理 しているチケットに情報を追加 ◦ メルカリでのDetection EngineeringとSOAR • “アラートに情報を追加し、トリアージを容易に ”

28. 28 まとめ

29. 29 まとめ 多様なデプロイ技術を利用しているクラ スターへの透過的なデプロイ Falco自体の監視方法 プル/プッシュ型 の利点・欠点 構造的なルールの管理 例外追加の基本方針 “なるべく狭く

    けれど拡張性も意識 ” Falcoアラートにコンテキスト追加 Falcoのデプロイ戦略 Falco活用の取り組み

30. 30 Q&A

31. 31 Appendix • eBPFのリバースエンジニアリング入門 ◦ https://engineering.mercari.com/blog/entry/20240228-b47712375d/ • メルカリでのDetection EngineeringとSOAR ◦

    https://engineering.mercari.com/blog/entry/20220513-detection-eng ineering-and-soar-at-mercari/ • Zero Touch Productionへの移行 ◦ https://engineering.mercari.com/en/blog/entry/20220126-shifting-to- zero-touch-production/ ◦