방어 회피: 정적 포드가 생성됨

이 문서에서는 Security Command Center의 위협 발견 항목 유형에 대해 설명합니다. 위협 발견 항목은 위협 감지기가 클라우드 리소스에서 잠재적인 위협을 감지할 때 생성됩니다. 사용 가능한 위협 발견 항목의 전체 목록은 위협 발견 항목 색인을 참고하세요.

개요

누군가가 GKE 클러스터에 정적 포드를 만들었습니다. 정적 포드는 노드에서 직접 실행되며 Kubernetes API 서버를 우회하므로 이를 모니터링하거나 제어하기 어렵습니다. 그 결과 공격자가 탐지를 회피하거나 연결을 유지할 수 있습니다.

대응 방법

다음의 응답 계획이 이 발견 항목에 적합할 수 있지만 작업에도 영향을 줄 수 있습니다. 조사에서 수집한 정보를 신중하게 평가하여 발견 항목을 해결할 최선의 방법을 결정해야 합니다.

이 발견 항목에 대응하려면 다음을 수행하세요.

1. 정적 포드의 매니페스트 파일과 목적을 검토합니다. 합법적이고 필요한지 확인합니다.
2. Kubernetes API 서버에서 관리하는 일반 포드를 통해 정적 포드의 기능을 수행할 수 있는지 평가합니다.
3. 정적 포드가 필요하면 보안 권장사항을 준수하고 최소 권한의 원칙을 따라야 합니다.
4. 정적 포드 활동과 클러스터에 미치는 영향을 모니터링합니다.

다음 단계

• Security Command Center에서 위협 발견 항목을 사용하는 방법을 알아보세요.
• 위협 발견 항목 색인을 참고하세요.
• Google Cloud 콘솔을 통해 결과를 검토하는 방법을 알아봅니다.
• 위협 결과를 생성하는 서비스에 대해 알아봅니다.