执行:GKE 启动功能过多的容器

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时,会生成威胁发现结果。如需查看可用威胁发现结果的完整列表,请参阅威胁发现结果索引

概览

有人在具有受提升安全上下文的 GKE 集群中部署了具有以下一个或多个功能的容器:

  • CAP_SYS_MODULE
  • CAP_SYS_RAWIO
  • CAP_SYS_PTRACE
  • CAP_SYS_BOOT
  • CAP_DAC_READ_SEARCH
  • CAP_NET_ADMIN
  • CAP_BPF

这些功能之前曾用于从容器中逃逸,因此应谨慎配置。

如何应答

以下响应方案可能适合此发现结果,但也可能会影响运营。 请仔细评估您在研究中收集的信息,以确定解析发现结果的最佳方法。

如需响应此发现结果,请执行以下操作:

  1. 查看容器的 Pod 定义中的安全上下文。找出对于其功能来说不是严格必要的任何功能。
  2. 尽可能移除或减少过多的功能。遵循最小权限原则。

后续步骤