1. Giới thiệu chung tính năng Runtime Security
✔ Để đảm bảo bảo về an toàn bảo mật thông tin cho FPT Cloud Managed Kubernetes cluster, FPT Cloud phát triển tính năng cho phép tích hợp công cụ hỗ trợ Runtime Security cung cấp khả năng phát hiện các hành động bất thường trong K8S cluster có thể gây rủi ro cho lớp runtime và kernel của worker node.
✔ Falco là một công cụ mã nguồn mở mạnh mẽ dùng để giám sát và phát hiện các hoạt động bất thường trong hệ thống container và Kubernetes. Falco được phát triển bởi Sysdig và hiện là một dự án được đảm bảo của CNCF (Cloud Native Computing Foundation). Tính năng chính của Falco là cung cấp "runtime security" - bảo mật thời gian thực - cho các hệ thống bằng cách theo dõi các hành vi của hệ điều hành và các container, sau đó dựa vào các rule đã được xác định trước để phát hiện các hoạt động bất thường hoặc tiềm ẩn rủi ro cho hệ thống.
✔ FPT Cloud cung cấp tích hợp tính năng Runtime Security cho phép người dùng cấu hình nhận cảnh báo chi tiết của các hành vi qua Telegram hoặc Gmail. Bằng cách sử dụng các kênh cảnh báo, Security Runtime giúp đảm bảo rằng các sự kiện bảo mật được phát hiện kịp thời và các quản trị viên có thể hành động nhanh chóng để bảo vệ hệ thống.
2. Hướng dẫn sử dụng tính năng trên Unify Portal:
Lưu ý: Bộ tính năng tăng cường khả năng bảo mật cho Managed Kubernetes Cluster được tích hợp sau khi cluster được khởi tạo thành công (Trạng thái Succeeded (Running))
A. Tích hợp Falco Engine:
1. Enable Falco Engine
Runtime Security được enable thành công nhưng người dùng sẽ không nhận được cảnh báo do chưa cấu hình các kênh nhận cảnh báo.
B. Disable Falco Engine
Khi không có nhu cầu tích hợp Runtime Security, người dùng có thể Disable dịch vụ ngay trên portal.
Kết quả sau khi Disable:
C. Tích hợp tính năng Falco UI
1. Enable Falco UI
Chọn Service falco-falcosidekick-ui, chọn Forward
Nhập port forward và bấm Start để truy cập
Kết quả sau khi login:
Màn hình dashboard khi có cảnh báo:
2. Update Username và Password
3. Disable Falco UI
Để thực hiện disable Falco UI, chọn Edit Runtime > Bấm button đang Enable > Bấm Confirm
Kết quả sau khi Disable Falco UI:
D. Tích hợp Runtime Security Event Notification
1. Telegram
1.1. Enable Runtime Security Event Notification
Bước 1: Đăng nhập Telegram, search BotFather
Bước 2: Nhập /newbot và tiến hành đặt tên cho bot
Bước 3: Tạo group chat để nhận thông báo
Bước 4: Trên Unify portal, thực hiện enable Runtime Security Event Notification
Bước 5: Chọn kênh nhận cảnh báo là Telegram, nhập ChatID và Token ID sau đó bấm Confirm
Kết quả sau khi cấu hình xong:
Khi phát hiện sự bất thường, telegram của người dùng sẽ nhận được cảnh báo như hình dưới đây:
1.2 Thay đổi kênh nhận thông báo qua Gmail
Lưu ý: Trước khi tạo Application Token cho Gmail, cần phải bật tính năng “Xác minh 2 bước” trên Tài khoản Google của mình.
Bước 1: Truy cập Link để tạo Application Token
Bước 2: Chọn Edit Runtime
Bước 3: Nhập thông tin để nhận thông báo qua Gmail và bấm Confirm
Kết quả sau khi cấu hình xong:
Khi có bất thường, hệ thống sẽ gửi cảnh báo về Gmail như ví dụ bên dưới:
1.3. Disable Runtime Security Event Notification
Khi không có nhu cầu nhận thông báo qua Telegram hoặc Gmail, người dùng vào tab Security > chọn Edit Runtime và thực hiện disable Runtime Security Event Notification > Bấm Confirm
Sau khi disable Runtime Security Event Notification, người dùng sẽ không còn nhận bất kỳ cảnh báo nào khi có bất thường xảy ra.