热门搜索:
trendmicrocloudone/falco
trendmicrocloudone
用于与Cloud One容器安全配合使用的Falco容器,提供容器运行时安全监控功能。
下载次数: 0状态:社区镜像维护者:trendmicrocloudone仓库类型:镜像最近更新:6 个月前
Falco (Cloud One Container Security 集成版) 镜像文档
1. 镜像概述
本镜像是 Falco 与 Cloud One Container Security 集成的容器化版本,基于开源 Falco 构建,预装 Cloud One Container Security 适配组件。主要用途是为容器环境(Docker/Kubernetes)提供运行时安全监控能力,通过与 Cloud One Container Security 平台联动,实现威胁检测、告警上报、策略集中管理及安全响应自动化。
2. 核心功能与特性
-
Falco 原生能力
- 实时监控系统调用、进程行为及文件操作
- 基于规则引擎的异常行为检测(如未授权访问、敏感文件修改、特权升级)
- 支持多环境:容器、主机、Kubernetes Pod
-
Cloud One 集成特性
- 与 Cloud One 威胁情报实时同步,提升检测准确性
- 告警事件集中上报至 Cloud One 平台,支持可视化分析与响应
- 安全策略(检测规则、响应动作)通过 Cloud One 统一配置与分发
-
容器化优势
- 简化部署流程,无需手动配置 Falco 与 Cloud One 集成组件
- 环境一致性,避免依赖冲突(内置 Falco 运行所需依赖)
- 资源隔离,降低对主机系统的直接影响
-
灵活配置
- 支持自定义检测规则(覆盖/补充默认规则)
- 可调整日志级别(debug/info/warn/error)与输出格式
- 内置指标收集功能(Prometheus 兼容),支持性能监控
3. 使用场景与适用范围
-
企业容器环境运行时安全监控
适用于部署 Docker 或 Kubernetes 的生产环境,实时检测容器逃逸、***进程、敏感数据泄露等威胁。 -
云原生应用安全防护
针对微服务、Serverless 等云原生架构,监控应用运行时行为,识别异常请求、资源滥用等风险。 -
Cloud One 平台整合的安全运营
与 Cloud One 安全生态(如 Workload Security、Network Security)联动,构建端到端云安全防护体系。 -
合规性审计
满足 GDPR、PCI-DSS 等合规要求,检测未授权访问、特权操作、日志篡改等违规行为,并生成审计记录。
4. 使用方法与配置说明
4.1 前提条件
- 已注册 Cloud One 账户,且开通 Container Security 服务
- 拥有有效的 Cloud One API 密钥(需具备 Container Security 管理权限)
- 部署环境:Docker 19.03+ 或 Kubernetes 1.16+
- 主机要求:Kernel 版本 ≥ 4.14(支持 eBPF 或 Falco 内核模块)
- 网络要求:容器需访问 Cloud One API 端点(根据区域,如
us-1.cloudone.trendmicro.com,端口 443)
4.2 镜像拉取
bashdocker pull trendmicro/falco-cloudone:latest
4.3 Docker 部署示例
基础部署(Docker 环境)
bashdocker run -d \ --name falco-cloudone \ --privileged \ # 需特权模式以访问系统资源 --restart unless-stopped \ -v /proc:/host/proc:ro \ # 挂载主机 proc 目录(只读) -v /sys:/host/sys:ro \ # 挂载主机 sys 目录(只读) -v /var/run/docker.sock:/var/run/docker.sock:ro \ # 访问 Docker 元数据(Docker 环境必填) -e CLOUD_ONE_API_KEY="your-cloudone-api-key" \ # 替换为实际 API 密钥 -e CLOUD_ONE_REGION="us-1" \ # 替换为 Cloud One 区域(如 us-1, eu-1, ap-1) -e LOG_LEVEL="info" \ # 日志级别:debug/info/warn/error(默认 info) trendmicro/falco-cloudone:latest
4.4 Docker Compose 配置
创建 docker-compose.yml:
yamlversion: '3.8' services: falco-cloudone: image: trendmicro/falco-cloudone:latest container_name: falco-cloudone privileged: true restart: unless-stopped volumes: - /proc:/host/proc:ro - /sys:/host/sys:ro - /var/run/docker.sock:/var/run/docker.sock:ro - ./custom-rules:/etc/falco/rules.d:ro # 挂载自定义规则目录(可选) environment: - CLOUD_ONE_API_KEY=your-cloudone-api-key # 必填 - CLOUD_ONE_REGION=us-1 # 必填,Cloud One 区域 - LOG_LEVEL=info # 可选,默认 info - METRICS_ENABLED=true # 可选,是否启用指标收集(默认 true) - FALCO_RULES_REPO=https://github.com/falcosecurity/rules # 可选,默认规则仓库
启动服务:docker-compose up -d
4.5 Kubernetes 部署(简要)
通过 DaemonSet 实现集群级部署(确保每个节点运行一个实例):
yamlapiVersion: apps/v1 kind: DaemonSet metadata: name: falco-cloudone namespace: security spec: selector: matchLabels: app: falco-cloudone template: metadata: labels: app: falco-cloudone spec: hostPID: true containers: - name: falco-cloudone image: trendmicro/falco-cloudone:latest securityContext: privileged: true volumeMounts: - name: proc mountPath: /host/proc readOnly: true - name: sys mountPath: /host/sys readOnly: true - name: var-run mountPath: /var/run/docker.sock readOnly: true env: - name: CLOUD_ONE_API_KEY valueFrom: secretKeyRef: name: cloudone-credentials key: api-key - name: CLOUD_ONE_REGION value: "us-1" - name: LOG_LEVEL value: "info" volumes: - name: proc hostPath: path: /proc - name: sys hostPath: path: /sys - name: var-run hostPath: path: /var/run/docker.sock
4.6 环境变量配置
| 环境变量名 | 必填 | 描述 | 示例值 |
|---|---|---|---|
CLOUD_ONE_API_KEY | 是 | Cloud One API 密钥,用于鉴权(从 Cloud One 控制台 > 账户 > API 密钥获取) | 12345678-1234-1234-1234-1234567890ab |
CLOUD_ONE_REGION | 是 | Cloud One 服务区域 | us-1(美国)、eu-1(欧洲)、ap-1(亚太) |
LOG_LEVEL | 否 | 日志输出级别 | debug/info(默认)/warn/error |
METRICS_ENABLED | 否 | 是否启用 Prometheus 指标收集 | true(默认)/false |
METRICS_PORT | 否 | 指标暴露端口(仅当 METRICS_ENABLED=true 时生效) | 2801(默认) |
FALCO_RULES_REPO | 否 | 默认规则仓库地址(用于同步官方规则) | https://github.com/falcosecurity/rules |
CUSTOM_RULES_PATH | 否 | 容器内自定义规则文件路径(需通过挂载实现) | /etc/falco/rules.d/custom-rules.yaml |
4.7 自定义规则配置
如需添加自定义检测规则,可通过挂载规则文件实现:
-
本地创建规则文件(如
custom-rules.yaml),遵循 Falco 规则语法:yaml- rule: 检测敏感文件修改 desc: 监控 /etc/passwd 或 /etc/shadow 的写入操作 condition: (open_write and fd.name in (/etc/passwd, /etc/shadow)) output: "敏感文件被修改 (user=%user.name, process=%proc.name, file=%fd.name)" priority: CRITICAL -
部署时挂载该文件至容器内规则目录:
bashdocker run -d \ ...(其他参数)... -v ./custom-rules.yaml:/etc/falco/rules.d/custom-rules.yaml:ro \ trendmicro/falco-cloudone:latest
5. 注意事项
- 特权模式说明:容器需以
--privileged运行,以获取系统调用监控所需的内核访问权限,建议仅在可信环境部署。 - 规则更新:默认规则通过
FALCO_RULES_REPO定期同步,自定义规则需手动维护版本。 - 网络连通性:确保容器能够访问 Cloud One API 端点(可通过
telnet <REGION>.cloudone.trendmicro.com 443验证)。 - 性能影响:Falco 基于 eBPF 或内核模块监控系统调用,低负载场景下性能开销 < 5%,高并发环境建议测试验证。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 falco 镜像标签
docker pull docker.xuanyuan.run/trendmicrocloudone/falco:<标签>
DockerHub 原生拉取命令
docker pull trendmicrocloudone/falco:<标签>
更多 falco 镜像推荐
falcosecurity/falco
falcosecurity
Falco 是一款面向 Linux 的云原生运行时安全工具,通过内核级监控与自定义规则实时检测异常行为及安全威胁,支持容器与 Kubernetes 集成,适用于云原生环境的安全防护。
23 次收藏5000万+ 次下载
11 天前更新
falcosecurity/falcosidekick-ui
falcosecurity
用于展示Falco最新事件的简单Web用户界面
100万+ 次下载
20 天前更新
falcosecurity/event-generator
falcosecurity
用于模拟Falco可捕获事件的事件生成工具
1 次收藏1000万+ 次下载
2 个月前更新
giantswarm/falco
giantswarm
暂无描述
5万+ 次下载
6 个月前更新
falcosecurity/falcoctl
falcosecurity
暂无描述
1000万+ 次下载
8 天前更新
falcosecurity/falco-no-driver
falcosecurity
暂无描述
1000万+ 次下载
1 年前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"