trendmicrocloudone/falco Docker Image Overview

trendmicrocloudone/falco

用于与Cloud One容器安全配合使用的Falco容器，提供容器运行时安全监控功能。

0 次下载activetrendmicrocloudone镜像

🚀专业版镜像服务，面向生产环境设计

中文简介版本下载

🚀专业版镜像服务，面向生产环境设计

Falco (Cloud One Container Security 集成版) 镜像文档

1. 镜像概述

本镜像是 Falco 与 Cloud One Container Security 集成的容器化版本，基于开源 Falco 构建，预装 Cloud One Container Security 适配组件。主要用途是为容器环境（Docker/Kubernetes）提供运行时安全监控能力，通过与 Cloud One Container Security 平台联动，实现威胁检测、告警上报、策略集中管理及安全响应自动化。

2. 核心功能与特性

Falco 原生能力
- 实时监控系统调用、进程行为及文件操作
- 基于规则引擎的异常行为检测（如未授权访问、敏感文件修改、特权升级）
- 支持多环境：容器、主机、Kubernetes Pod
Cloud One 集成特性
- 与 Cloud One 威胁情报实时同步，提升检测准确性
- 告警事件集中上报至 Cloud One 平台，支持可视化分析与响应
- 安全策略（检测规则、响应动作）通过 Cloud One 统一配置与分发
容器化优势
- 简化部署流程，无需手动配置 Falco 与 Cloud One 集成组件
- 环境一致性，避免依赖冲突（内置 Falco 运行所需依赖）
- 资源隔离，降低对主机系统的直接影响
灵活配置
- 支持自定义检测规则（覆盖/补充默认规则）
- 可调整日志级别（debug/info/warn/error）与输出格式
- 内置指标收集功能（Prometheus 兼容），支持性能监控

3. 使用场景与适用范围

企业容器环境运行时安全监控
适用于部署 Docker 或 Kubernetes 的生产环境，实时检测容器逃逸、***进程、敏感数据泄露等威胁。
云原生应用安全防护
针对微服务、Serverless 等云原生架构，监控应用运行时行为，识别异常请求、资源滥用等风险。
Cloud One 平台整合的安全运营
与 Cloud One 安全生态（如 Workload Security、Network Security）联动，构建端到端云安全防护体系。
合规性审计
满足 GDPR、PCI-DSS 等合规要求，检测未授权访问、特权操作、日志篡改等违规行为，并生成审计记录。

4. 使用方法与配置说明

4.1 前提条件

已注册 Cloud One 账户，且开通 Container Security 服务
拥有有效的 Cloud One API 密钥（需具备 Container Security 管理权限）
部署环境：Docker 19.03+ 或 Kubernetes 1.16+
主机要求：Kernel 版本 ≥ 4.14（支持 eBPF 或 Falco 内核模块）
网络要求：容器需访问 Cloud One API 端点（根据区域，如 us-1.cloudone.trendmicro.com，端口 443）

4.2 镜像拉取

bash
docker pull trendmicro/falco-cloudone:latest

4.3 Docker 部署示例

基础部署（Docker 环境）

bash
docker run -d \
  --name falco-cloudone \
  --privileged \  # 需特权模式以访问系统资源
  --restart unless-stopped \
  -v /proc:/host/proc:ro \  # 挂载主机 proc 目录（只读）
  -v /sys:/host/sys:ro \    # 挂载主机 sys 目录（只读）
  -v /var/run/docker.sock:/var/run/docker.sock:ro \  # 访问 Docker 元数据（Docker 环境必填）
  -e CLOUD_ONE_API_KEY="your-cloudone-api-key" \  # 替换为实际 API 密钥
  -e CLOUD_ONE_REGION="us-1" \  # 替换为 Cloud One 区域（如 us-1, eu-1, ap-1）
  -e LOG_LEVEL="info" \  # 日志级别：debug/info/warn/error（默认 info）
  trendmicro/falco-cloudone:latest

4.4 Docker Compose 配置

创建 docker-compose.yml：

yaml
version: '3.8'
services:
  falco-cloudone:
    image: trendmicro/falco-cloudone:latest
    container_name: falco-cloudone
    privileged: true
    restart: unless-stopped
    volumes:
      - /proc:/host/proc:ro
      - /sys:/host/sys:ro
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - ./custom-rules:/etc/falco/rules.d:ro  # 挂载自定义规则目录（可选）
    environment:
      - CLOUD_ONE_API_KEY=your-cloudone-api-key  # 必填
      - CLOUD_ONE_REGION=us-1  # 必填，Cloud One 区域
      - LOG_LEVEL=info  # 可选，默认 info
      - METRICS_ENABLED=true  # 可选，是否启用指标收集（默认 true）
      - FALCO_RULES_REPO=[***]  # 可选，默认规则仓库

启动服务：docker-compose up -d

4.5 Kubernetes 部署（简要）

通过 DaemonSet 实现集群级部署（确保每个节点运行一个实例）：

yaml
apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: falco-cloudone
  namespace: security
spec:
  selector:
    matchLabels:
      app: falco-cloudone
  template:
    metadata:
      labels:
        app: falco-cloudone
    spec:
      hostPID: true
      containers:
      - name: falco-cloudone
        image: trendmicro/falco-cloudone:latest
        securityContext:
          privileged: true
        volumeMounts:
        - name: proc
          mountPath: /host/proc
          readOnly: true
        - name: sys
          mountPath: /host/sys
          readOnly: true
        - name: var-run
          mountPath: /var/run/docker.sock
          readOnly: true
        env:
        - name: CLOUD_ONE_API_KEY
          valueFrom:
            secretKeyRef:
              name: cloudone-credentials
              key: api-key
        - name: CLOUD_ONE_REGION
          value: "us-1"
        - name: LOG_LEVEL
          value: "info"
      volumes:
      - name: proc
        hostPath:
          path: /proc
      - name: sys
        hostPath:
          path: /sys
      - name: var-run
        hostPath:
          path: /var/run/docker.sock

4.6 环境变量配置

环境变量名	必填	描述	示例值
`CLOUD_ONE_API_KEY`	是	Cloud One API 密钥，用于鉴权（从 Cloud One 控制台 > 账户 > API 密钥获取）	`*-1234-1234-1234-*ab`
`CLOUD_ONE_REGION`	是	Cloud One 服务区域	`us-1`（美国）、`eu-1`（欧洲）、`ap-1`（亚太）
`LOG_LEVEL`	否	日志输出级别	`debug`/`info`（默认）/`warn`/`error`
`METRICS_ENABLED`	否	是否启用 Prometheus 指标收集	`true`（默认）/`false`
`METRICS_PORT`	否	指标暴露端口（仅当 `METRICS_ENABLED=true` 时生效）	`2801`（默认）
`FALCO_RULES_REPO`	否	默认规则仓库地址（用于同步官方规则）	`[***]`
`CUSTOM_RULES_PATH`	否	容器内自定义规则文件路径（需通过挂载实现）	`/etc/falco/rules.d/custom-rules.yaml`

4.7 自定义规则配置

如需添加自定义检测规则，可通过挂载规则文件实现：

本地创建规则文件（如 custom-rules.yaml），遵循 Falco 规则语法：

yaml
- rule: 检测敏感文件修改
  desc: 监控 /etc/passwd 或 /etc/shadow 的写入操作
  condition: (open_write and fd.name in (/etc/passwd, /etc/shadow))
  output: "敏感文件被修改 (user=%user.name, process=%proc.name, file=%fd.name)"
  priority: CRITICAL

部署时挂载该文件至容器内规则目录：

bash
docker run -d \
  ...（其他参数）...
  -v ./custom-rules.yaml:/etc/falco/rules.d/custom-rules.yaml:ro \
  trendmicro/falco-cloudone:latest

5. 注意事项

特权模式说明：容器需以 --privileged 运行，以获取系统调用监控所需的内核访问权限，建议仅在可信环境部署。
规则更新：默认规则通过 FALCO_RULES_REPO 定期同步，自定义规则需手动维护版本。
网络连通性：确保容器能够访问 Cloud One API 端点（可通过 telnet <REGION>.cloudone.trendmicro.com 443 验证）。
性能影响：Falco 基于 eBPF 或内核模块监控系统调用，低负载场景下性能开销 < 5%，高并发环境建议测试验证。

查看更多 falco 相关镜像 →