История от ребят из Skyscanner о переезде на Kubernetes и внедрении Falco — бесплатного опенсорсного инструмента для мониторинга контейнеров на момент аномальной активности и угроз. Судя по тексту, несмотря на объемы (~2000 нод в ~30 кластерах), внедрение Falco никак не повлияло на производительность контейнерной инфраструктуры.

Для успешной интеграции дополнительно потребовалось:

- прикрутить Prometheus для мониторинга внезапных падений модулей Falco;
- включить по-умолчанию во все ноды модуль Falco;
- настроить систему хранения и визуализации событий с Falco (ELK, Splunk);
- организовать процесс инвентаризации контейнерной инфраструктуры, с информацией о владельце, ресурсах и ответственных, для каждого из сервисов, чтобы знать в случае чего к кому бежать;
- автоматизировать рассылку уведомлений безопасности до ответственных за тот или иной сервис (через Slack бота).

https://medium.com/@SkyscannerEng/kubernetes-security-monitoring-at-scale-with-sysdig-falco-a60cfdb0f67a