In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.
Übersicht
Jemand hat eine Arbeitslast erstellt, die eine hostPath-Volumebereitstellung für einen sensiblen Pfad im Dateisystem des Hostknotens enthält. Der Zugriff auf diese Pfade im Dateisystem des Hosts kann verwendet werden, um auf privilegierte oder vertrauliche Informationen auf dem Knoten zuzugreifen und um aus dem Container auszubrechen. Lassen Sie nach Möglichkeit keine hostPath-Volumes in Ihrem Cluster zu. Weitere Informationen finden Sie in der Log-Meldung für diese Benachrichtigung.
So reagieren Sie
Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.
Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:
- Überprüfen Sie die Arbeitslast, um festzustellen, ob dieses
hostPath-Volume für die beabsichtigte Funktion erforderlich ist. Wenn ja, achten Sie darauf, dass der Pfad zu einem möglichst spezifischen Verzeichnis führt. Beispiel:/etc/myapp/myfilesanstelle von/oder/etc. - Stellen Sie fest, ob die Audit-Logs in Cloud Logging weitere Anzeichen für schädliche Aktivitäten im Zusammenhang mit dieser Arbeitslast enthalten.
Informationen zum Blockieren von hostPath-Volume-Bereitstellungen im Cluster finden Sie in der Anleitung zum Erzwingen von Pod-Sicherheitsstandards.
Nächste Schritte
- Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
- Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
- Dienste, die Bedrohungsbefunde generieren