trendmicrocloudone/falco Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
trendmicrocloudone/falcotrendmicrocloudone
用于与Cloud One容器安全配合使用的Falco容器,提供容器运行时安全监控功能。
下载次数: 0状态:社区镜像维护者:trendmicrocloudone仓库类型:镜像最近更新:4 个月前
Falco (Cloud One Container Security 集成版) 镜像文档
1. 镜像概述
本镜像是 Falco 与 Cloud One Container Security 集成的容器化版本,基于开源 Falco 构建,预装 Cloud One Container Security 适配组件。主要用途是为容器环境(Docker/Kubernetes)提供运行时安全监控能力,通过与 Cloud One Container Security 平台联动,实现威胁检测、告警上报、策略集中管理及安全响应自动化。
2. 核心功能与特性
-
Falco 原生能力
- 实时监控系统调用、进程行为及文件操作
- 基于规则引擎的异常行为检测(如未授权访问、敏感文件修改、特权升级)
- 支持多环境:容器、主机、Kubernetes Pod
-
Cloud One 集成特性
- 与 Cloud One 威胁情报实时同步,提升检测准确性
- 告警事件集中上报至 Cloud One 平台,支持可视化分析与响应
- 安全策略(检测规则、响应动作)通过 Cloud One 统一配置与分发
-
容器化优势
- 简化部署流程,无需手动配置 Falco 与 Cloud One 集成组件
- 环境一致性,避免依赖冲突(内置 Falco 运行所需依赖)
- 资源隔离,降低对主机系统的直接影响
-
灵活配置
- 支持自定义检测规则(覆盖/补充默认规则)
- 可调整日志级别(debug/info/warn/error)与输出格式
- 内置指标收集功能(Prometheus 兼容),支持性能监控
3. 使用场景与适用范围
-
企业容器环境运行时安全监控
适用于部署 Docker 或 Kubernetes 的生产环境,实时检测容器逃逸、***进程、敏感数据泄露等威胁。 -
云原生应用安全防护
针对微服务、Serverless 等云原生架构,监控应用运行时行为,识别异常请求、资源滥用等风险。 -
Cloud One 平台整合的安全运营
与 Cloud One 安全生态(如 Workload Security、Network Security)联动,构建端到端云安全防护体系。 -
合规性审计
满足 GDPR、PCI-DSS 等合规要求,检测未授权访问、特权操作、日志篡改等违规行为,并生成审计记录。
4. 使用方法与配置说明
4.1 前提条件
- 已注册 Cloud One 账户,且开通 Container Security 服务
- 拥有有效的 Cloud One API 密钥(需具备 Container Security 管理权限)
- 部署环境:Docker 19.03+ 或 Kubernetes 1.16+
- 主机要求:Kernel 版本 ≥ 4.14(支持 eBPF 或 Falco 内核模块)
- 网络要求:容器需访问 Cloud One API 端点(根据区域,如
us-1.cloudone.trendmicro.com,端口 443)
4.2 镜像拉取
bashdocker pull trendmicro/falco-cloudone:latest
4.3 Docker 部署示例
基础部署(Docker 环境)
bashdocker run -d \ --name falco-cloudone \ --privileged \ # 需特权模式以访问系统资源 --restart unless-stopped \ -v /proc:/host/proc:ro \ # 挂载主机 proc 目录(只读) -v /sys:/host/sys:ro \ # 挂载主机 sys 目录(只读) -v /var/run/docker.sock:/var/run/docker.sock:ro \ # 访问 Docker 元数据(Docker 环境必填) -e CLOUD_ONE_API_KEY="your-cloudone-api-key" \ # 替换为实际 API 密钥 -e CLOUD_ONE_REGION="us-1" \ # 替换为 Cloud One 区域(如 us-1, eu-1, ap-1) -e LOG_LEVEL="info" \ # 日志级别:debug/info/warn/error(默认 info) trendmicro/falco-cloudone:latest
4.4 Docker Compose 配置
创建 docker-compose.yml:
yamlversion: '3.8' services: falco-cloudone: image: trendmicro/falco-cloudone:latest container_name: falco-cloudone privileged: true restart: unless-stopped volumes: - /proc:/host/proc:ro - /sys:/host/sys:ro - /var/run/docker.sock:/var/run/docker.sock:ro - ./custom-rules:/etc/falco/rules.d:ro # 挂载自定义规则目录(可选) environment: - CLOUD_ONE_API_KEY=your-cloudone-api-key # 必填 - CLOUD_ONE_REGION=us-1 # 必填,Cloud One 区域 - LOG_LEVEL=info # 可选,默认 info - METRICS_ENABLED=true # 可选,是否启用指标收集(默认 true) - FALCO_RULES_REPO=[***] # 可选,默认规则仓库
启动服务:docker-compose up -d
4.5 Kubernetes 部署(简要)
通过 DaemonSet 实现集群级部署(确保每个节点运行一个实例):
yamlapiVersion: apps/v1 kind: DaemonSet metadata: name: falco-cloudone namespace: security spec: selector: matchLabels: app: falco-cloudone template: metadata: labels: app: falco-cloudone spec: hostPID: true containers: - name: falco-cloudone image: trendmicro/falco-cloudone:latest securityContext: privileged: true volumeMounts: - name: proc mountPath: /host/proc readOnly: true - name: sys mountPath: /host/sys readOnly: true - name: var-run mountPath: /var/run/docker.sock readOnly: true env: - name: CLOUD_ONE_API_KEY valueFrom: secretKeyRef: name: cloudone-credentials key: api-key - name: CLOUD_ONE_REGION value: "us-1" - name: LOG_LEVEL value: "info" volumes: - name: proc hostPath: path: /proc - name: sys hostPath: path: /sys - name: var-run hostPath: path: /var/run/docker.sock
4.6 环境变量配置
| 环境变量名 | 必填 | 描述 | 示例值 |
|---|---|---|---|
CLOUD_ONE_API_KEY | 是 | Cloud One API 密钥,用于鉴权(从 Cloud One 控制台 > 账户 > API 密钥获取) | ***-1234-1234-1234-***ab |
CLOUD_ONE_REGION | 是 | Cloud One 服务区域 | us-1(美国)、eu-1(欧洲)、ap-1(亚太) |
LOG_LEVEL | 否 | 日志输出级别 | debug/info(默认)/warn/error |
METRICS_ENABLED | 否 | 是否启用 Prometheus 指标收集 | true(默认)/false |
METRICS_PORT | 否 | 指标暴露端口(仅当 METRICS_ENABLED=true 时生效) | 2801(默认) |
FALCO_RULES_REPO | 否 | 默认规则仓库地址(用于同步官方规则) | [***] |
CUSTOM_RULES_PATH | 否 | 容器内自定义规则文件路径(需通过挂载实现) | /etc/falco/rules.d/custom-rules.yaml |
4.7 自定义规则配置
如需添加自定义检测规则,可通过挂载规则文件实现:
-
本地创建规则文件(如
custom-rules.yaml),遵循 Falco 规则语法:yaml- rule: 检测敏感文件修改 desc: 监控 /etc/passwd 或 /etc/shadow 的写入操作 condition: (open_write and fd.name in (/etc/passwd, /etc/shadow)) output: "敏感文件被修改 (user=%user.name, process=%proc.name, file=%fd.name)" priority: CRITICAL -
部署时挂载该文件至容器内规则目录:
bashdocker run -d \ ...(其他参数)... -v ./custom-rules.yaml:/etc/falco/rules.d/custom-rules.yaml:ro \ trendmicro/falco-cloudone:latest
5. 注意事项
- 特权模式说明:容器需以
--privileged运行,以获取系统调用监控所需的内核访问权限,建议仅在可信环境部署。 - 规则更新:默认规则通过
FALCO_RULES_REPO定期同步,自定义规则需手动维护版本。 - 网络连通性:确保容器能够访问 Cloud One API 端点(可通过
telnet <REGION>.cloudone.trendmicro.com 443验证)。 - 性能影响:Falco 基于 eBPF 或内核模块监控系统调用,低负载场景下性能开销 < 5%,高并发环境建议测试验证。
falcosecurity/falco
falcosecurity
Falco 是一款面向 Linux 的云原生运行时安全工具,通过内核级监控与自定义规则实时检测异常行为及安全威胁,支持容器与 Kubernetes 集成,适用于云原生环境的安全防护。
22 次收藏5000万+ 次下载
14 天前更新
giantswarm/falco
giantswarm
暂无描述
5万+ 次下载
4 个月前更新
falcosecurity/falcosidekick-ui
falcosecurity
用于展示Falco最新事件的简单Web用户界面
100万+ 次下载
3 个月前更新
falcosecurity/event-generator
falcosecurity
用于模拟Falco可捕获事件的事件生成工具
1 次收藏1000万+ 次下载
29 天前更新
falcosecurity/falcoctl
falcosecurity
暂无描述
1000万+ 次下载
25 天前更新
falcosecurity/falco-no-driver
falcosecurity
暂无描述
1000万+ 次下载
1 年前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"