執行:啟動具備過多功能的 GKE 容器

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

有人在安全性環境提升的 GKE 叢集中,部署具有下列一或多項功能之一的容器:

  • CAP_SYS_MODULE
  • CAP_SYS_RAWIO
  • CAP_SYS_PTRACE
  • CAP_SYS_BOOT
  • CAP_DAC_READ_SEARCH
  • CAP_NET_ADMIN
  • CAP_BPF

這些功能先前曾用於逸出容器,因此應謹慎佈建。

回應方式

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

如要回應這項發現,請按照下列步驟操作:

  1. 查看 Pod 定義中的容器安全情境。找出任何對功能而言並非絕對必要的權限。
  2. 盡可能移除或減少過多的功能。遵循最低權限原則。

後續步驟