規避防禦機制:建立靜態 Pod

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

有人在 GKE 叢集中建立靜態 Pod。 靜態 Pod 會直接在節點上執行,並略過 Kubernetes API 伺服器,因此更難監控及控制。攻擊者可能會利用這點規避偵測或維持持續性。

回應方式

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

如要回應這項發現,請按照下列步驟操作:

  1. 查看靜態 Pod 的資訊清單檔案及其用途。確認是否正當且必要。
  2. 評估是否能透過 Kubernetes API 伺服器管理的常規 Pod,實現靜態 Pod 的功能。
  3. 如果需要靜態 Pod,請確保該 Pod 遵循安全性最佳做法,並具備最低權限。
  4. 監控靜態 Pod 的活動及其對叢集的影響。

後續步驟