Container Runtime Security 도구 분류
- 탐지 전용 (Detection Only)
- 탐지 및 대응 (Detect and Respond)
- 인라인 시행 (Inline Enforcement)
Container Runtime Security Tools
Falco
유형: 탐지 및 대응
탐지: 시스템 콜 기반 탐지 엔진
대응: Falco-Talon 으로 user space 에서 대응
Tetragon
유형: 탐지 + 강제 적용 (Detection + Enforcement)
탐지: eBPF 기반
강제 적용: bpf_send_signal() 을 통한 프로세스 강제 종료, bpf_override_return() 을 통한 인라인 완화
Tracee
유형: 탐지 전용 (Detection Only)
탐지: eBPF 기반 탐지 엔진
KubeArmor
유형: 탐지 + 인라인 완화
탐지: eBPF 기반
인라인 완화: LSM (LSM-BPF) LSM 기반으로 안정적인 인라인 완화 제공
참조링크:
https://github.com/kubearmor/KubeArmor/wiki/KubeArmor-Performance-Benchmarking-Data
NeuVector
유형: 탐지 및 대응
탐지 및 대응: inotify / fanotify 기반으로 user space 에서 프로세스 종료 가능
Palo Alto TwistLock
유형: 탐지 + 인라인 시행
탐지 및 인라인 시행: runC 를 runC shim 바이너리로 교체하여 런타임 차단 규칙 강제 적용