Despre articol & De ce contează securitatea containerelor?

Dacă ai ajuns aici, probabil că rulezi containere (Docker, Kubernetes, LXC, whatever) și te-ai întrebat măcar o dată: „Cât de sigur e tot setup-ul meu?”. Articolul ăsta e pentru toți cei care nu vor să-și vadă serverele făcute zob de un script kiddie sau, mai rău, de un atacator cu skill. O să vorbim despre două super-unelte moderne: Tetragon și Falco – armele secrete pentru DevOps, sysadmini și developeri care vor să doarmă liniștiți.

Aici afli nu doar ce fac, dar și cum să le instalezi rapid, ce probleme te pot salva, cum le folosești pentru automatizare și scripting, plus o grămadă de exemple și glume geeky. Dacă ai VPS, server dedicat sau găzduiești containere în cloud – vei vrea să citești asta până la capăt.

Hook: Povestea unui admin obosit și a containerelor compromise

Imaginează-ți: e vineri seara, ai planuri, dar telefonul vibrează isteric. Alertă: containerul tău de producție trimite date către o adresă IP dubioasă din Rusia. Intri în panică. Te loghezi, vezi procese ciudate, loguri incomplete, habar n-ai pe unde să apuci problema. Zilele tale liniștite de admin s-au dus… Dacă ai fi avut niște senzori de securitate buni pe containere, povestea ar fi fost altfel.

Problema: De ce e complicat să securizezi containerele?

• Containerele sunt izolate, dar nu invulnerabile. Un bug într-un container poate sparge tot hostul.
• Procesele din containere pot face chestii dubioase fără să-ți dai seama (ex: minerit crypto, backdoor, exfiltrare date).
• Firewall-ul clasic nu vede tot, iar logurile sunt greu de urmărit în lumea containerelor.
• Majoritatea tool-urilor de monitorizare clasică nu au contextul de „container”.

Aici intervin Tetragon (by Cilium/Isovalent) și Falco (by Sysdig) – două proiecte open-source care văd TOT ce mișcă în containerele tale, la nivel de kernel și syscalls, și te avertizează instant când ceva nu e în regulă.

Cum funcționează Tetragon & Falco?

Tetragon – Securitate cu eBPF

Tetragon folosește eBPF (extended Berkeley Packet Filter) – o tehnologie badass care permite rularea de cod în kernel Linux, fără să spargi nimic. Practic, Tetragon monitorizează în timp real tot ce fac procesele din containerele tale: execuții de fișiere, modificări de rețea, acces la resurse sensibile.

• Observă syscalls (apeluri de sistem), procese, fișiere, conexiuni de rețea.
• Poate aplica politici de blocare (deny rules) în funcție de comportament.
• Super-eficient: nu încetinește serverul (eBPF e mega-rapid).

Falco – Securitate cu reguli flexibile

Falco merge pe o abordare de tip rule-based detection: definești (sau folosești reguli predefinite) pentru ce înseamnă comportament dubios. De exemplu: „rulează cineva nc sau curl dintr-un container? Alertă!”. Falco poate fi folosit și pe bare-metal, dar strălucește pe Docker/Kubernetes.

• Monitorizează syscalls și evenimente de kernel.
• Reguli customizabile, alerte clare (Slack, email, webhook etc.).
• Compatibil cu aproape orice orchestrator de containere.

Copacul Use Case-urilor, cu Beneficii

Hai să facem un „copac” al cazurilor de utilizare, pentru a vedea cât de utili sunt Tetragon și Falco:

• Rădăcina: Vrei ca procesele din containere să nu facă prostii (ex: să nu ruleze shell-uri ascunse, să nu deschidă conexiuni suspecte).
  • Ramură #1: Detectezi execuții neașteptate (cineva rulează bash în containerul Nginx?).
  • Ramură #2: Monitorizezi accesul la fișiere sensibile (containerul de PHP încearcă să citească /etc/shadow?).
  • Ramură #3: Alertezi/Blochezi trafic de rețea ciudat (exfiltrare date, mining, scanări).
  • Ramură #4: Automatizezi răspunsul la incidente (container compromis = kill instant).
  • Ramură #5: Generezi audit logs pentru compliance (GDPR, PCI-DSS, etc.).

Beneficii: Vizibilitate totală, reacție rapidă, mai puține nopți nedormite, și un setup future-proof pentru orice tip de hosting (cloud, VPS, server dedicat).

Ghid rapid de setup, step-by-step

1. Pregătește-ți mediul (Linux, Docker/Kubernetes)

• Ai nevoie de kernel 4.18+ pentru Tetragon (eBPF), orice Linux modern merge pentru Falco.
• Recomand să folosești VPS sau server dedicat pentru control maxim: VPS sau server dedicat.

2. Instalare Tetragon

Cel mai ușor e pe Kubernetes, dar merge și standalone. Exemplu rapid pe bare-metal/VM:

curl -sSL https://get.cilium.io/tetragon.sh | bash

Pe Kubernetes (recomandat):

kubectl create -f https://raw.githubusercontent.com/cilium/tetragon/main/install/kubernetes/manifests/tetragon.yaml

Pentru mai multe detalii: Tetragon Official

3. Instalare Falco

Falco merge pe orice Linux, inclusiv în Docker:

curl -s https://s3.amazonaws.com/download.draios.com/stable/install-falco | sudo bash

sau cu Docker:

docker run -d --name falco --privileged -v /var/run/docker.sock:/host/var/run/docker.sock \
  -v /dev:/host/dev -v /proc:/host/proc:ro -v /boot:/host/boot:ro \
  -v /lib/modules:/host/lib/modules:ro -v /usr:/host/usr:ro falcosecurity/falco

Mai multe info: Falco Official

4. Configurare reguli și alerte

• Personalizează regulile Falco (fișier /etc/falco/falco_rules.yaml).
• Definește politici Tetragon pentru procese/fișiere/rețea.
• Conectează alertele la Slack, email, webhook, Prometheus, etc.

5. Testează cu un „simulated attack”

docker exec -it  bash
touch /etc/shadow
curl http://evil.com

Ar trebui să primești alertă instant!

Mini Glosar – Definiții pe bune

• eBPF – „Kernel magic”. Permite monitorizare și filtrare la nivel de kernel, fără kernel panic.
• Syscall – Orice cerere a unui program către kernel (ex: deschide fișier, trimite pachet).
• Container – „VM light”. Procese izolate, dar nu la fel de safe ca o VM reală.
• Policy – Reguli de „ce-i permis și ce nu” în sistem.
• Rule-based detection – Detectare bazată pe reguli scrise de tine (sau comunitate).

Exemple, cazuri pozitive și negative, comparație comică

Comparație Comică: Tetragon vs Falco vs „Nimic”

• Falco – „Câinele de pază vigilent”. Latră tare când vede ceva ciudat, dar nu mușcă (doar alertează).
• Tetragon – „Câinele de pază ninja”. Nu doar că latră, dar sare și blochează intrusul, fără să-l vezi.
• Nimic – „Pisica de pe canapea”. Doarme liniștită, nu vede, nu aude, nu știe când vine hoțul.

Caz pozitiv: DevOps instalează Falco și Tetragon. Într-o seară, cineva încearcă să ruleze bash într-un container de Nginx. Falco trimite alertă pe Slack, Tetragon blochează execuția. Zero pagube, adminul își termină serialul.

Caz negativ: Fără Falco/Tetragon, un exploit într-un container scapă și instalează un miner de Monero. Serverul merge greu, factura la cloud explodează, iar adminul nu înțelege de ce.

Mituri, greșeli de început, alternative și decizie rapidă

Mituri:

• „Containerele sunt 100% izolate, nu am nevoie de securitate specială.” FALS!
• „Falco încetinește serverul.” FALS! Consumul e minim.
• „Tetragon e doar pentru Kubernetes.” FALS! Merge și pe bare-metal.

Greșeli comune:

• Nu configurezi reguli personalizate (default-urile nu acoperă tot ce ai tu nevoie).
• Nu monitorizezi alertele (dacă nu te uiți, degeaba le ai).
• Nu faci update la reguli/politici (noile atacuri trec de cele vechi).

Alternative & Când să folosești fiecare:

• AppArmor, SELinux: Bun pentru hardening, dar greu de configurat și nu oferă vizibilitate clară.
• Sysdig (versiunea comercială): Puternic, dar costisitor.
• Auditd: Loghează tot, dar fără context de container și fără reguli flexibile.

Decizie rapidă – Flowchart:

Ești pe Docker/K8s? 👉 Da
Vrei doar alerte? 👉 Falco
Vrei și blocare automată? 👉 Tetragon
Ai nevoie de compliance/audit? 👉 Ambele!
Ești pe bare-metal și vrei vizibilitate? 👉 Instalează Falco

Dacă vrei control complet și performanță, ia-ți un server dedicat sau un VPS.

Statistici, fapte interesante și hack-uri neconvenționale

• Potrivit CNCF, peste 60% din incidentele de securitate în cloud implică containere slab monitorizate.
• Falco e folosit de companii ca Shopify, Gojek, și chiar NASA pentru monitorizare runtime.
• Tetragon e printre puținele tool-uri care pot bloca execuția înainte să se întâmple răul.
• Poti folosi Falco pentru alertare la modificări de fișiere în volumele Docker (ex: cine modifică codul live?!).
• Hack: Integrează Falco cu GitHub Actions pentru a verifica dacă pipeline-urile CI rulează doar ce trebuie!

Scripturi practice și automatisări

Un exemplu rapid de script pentru integrare Falco cu Slack:

# Falco -> Slack webhook
curl -X POST -H 'Content-type: application/json' \
  --data '{"text":"Falco alert: '"$ALERT_MESSAGE"'"}' \
  https://hooks.slack.com/services/XXXX/XXXX/XXXX

Automatizare cu Tetragon pentru kill automat la execuții nepermise:

# Politică Tetragon (yaml simplificat)
apiVersion: cilium.io/v1alpha1
kind: TracingPolicy
metadata:
  name: block-bash-in-nginx
spec:
  processExec:
    matchBinary: "/bin/bash"
    matchContainerName: "nginx"
    action: "block"

Bonus: Integrează Falco cu Prometheus pentru dashboard-uri grafice (vezi Falco Outputs).

Poveste scurtă: Adminul, containerele și… Falco

Era o dată un admin care credea că totul e sub control. Într-o zi, primește un Slack alert de la Falco: „bash exec in nginx container”. Intră rapid, vede că cineva încerca un exploit. Datorită Tetragon, execuția fusese blocată. Adminul zâmbește, își bea cafeaua și se gândește: cum am trăit până acum fără astea?

Concluzie și recomandări

• Nu lăsa securitatea containerelor pe mâine! Falco și Tetragon sunt ușor de instalat, nu costă nimic (open-source), și te scapă de multe bătăi de cap.
• Folosește Falco pentru alertare și vizibilitate, iar Tetragon pentru blocare automată și politici avansate.
• Personalizează-ți regulile, nu te baza doar pe default.
• Monitorizează-ți alertele și integrează-le cu tool-urile tale preferate (Slack, Prometheus, SIEM).
• Ia-ți infrastructura potrivită: pentru performanță maximă, alege un server dedicat sau un VPS.

Linkuri utile:

• Tetragon (official)
• Falco (official)

Dacă vrei să fii cu un pas înaintea atacatorilor și să-ți păstrezi containerele safe, Tetragon și Falco sunt printre cele mai bune investiții de timp și atenție pe care le poți face azi. Spor la securizat!