권한 에스컬레이션: 민감한 호스트 경로 마운트로 생성된 워크로드

이 문서에서는 Security Command Center의 위협 발견 항목 유형에 대해 설명합니다. 위협 발견 항목은 위협 감지기가 클라우드 리소스에서 잠재적인 위협을 감지할 때 생성됩니다. 사용 가능한 위협 발견 항목의 전체 목록은 위협 발견 항목 색인을 참고하세요.

개요

누군가 호스트 노드의 파일 시스템에서 민감한 경로에 hostPath 볼륨 마운트를 포함하는 워크로드를 만들었습니다. 호스트 파일 시스템의 이러한 경로에 대한 액세스 권한은 노드에서 권한이 있거나 민감한 정보에 액세스하고 컨테이너 이스케이프 처리하는 데 사용될 수 있습니다. 가능하면 클러스터에서 hostPath 볼륨을 허용하지 마세요. 자세한 내용은 이 알림의 로그 메시지를 참조하세요.

대응 방법

다음의 응답 계획이 이 발견 항목에 적합할 수 있지만 작업에도 영향을 줄 수 있습니다. 조사에서 수집한 정보를 신중하게 평가하여 발견 항목을 해결할 최선의 방법을 결정해야 합니다.

이 발견 항목에 대응하려면 다음을 수행하세요.

1. 워크로드를 검토하여 의도한 기능에 이 hostPath 볼륨이 필요한지 확인하세요. 필요하다면 경로가 가능한 한 가장 구체적인 디렉터리로 설정되어 있는지 확인하세요. 예를 들어 / 또는 /etc 대신 /etc/myapp/myfiles를 사용합니다.
2. Cloud Logging의 감사 로그에서 이 워크로드와 관련된 다른 악의적인 활동 징후가 있는지 확인하세요.

클러스터에서 hostPath 볼륨 마운트를 차단하려면 포드 보안 표준 적용에 대한 안내를 참조하세요.

다음 단계

• Security Command Center에서 위협 발견 항목을 사용하는 방법을 알아보세요.
• 위협 발견 항목 색인을 참고하세요.
• Google Cloud 콘솔을 통해 결과를 검토하는 방법을 알아봅니다.
• 위협 결과를 생성하는 서비스에 대해 알아봅니다.