提升权限:使用敏感主机路径装载创建的工作负载

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时,会生成相应的威胁发现结果。如需查看可用威胁发现结果的完整列表,请参阅威胁发现结果索引

概览

有人创建了包含 hostPath 卷的工作负载,该卷装载到主机节点文件系统上的敏感路径。主机文件系统上这些路径的访问权限可用于访问节点上的特权或敏感信息,以及用于容器逃逸。请尽可能不要在集群中允许任何 hostPath 卷。如需了解详情,请参阅此提醒的日志消息。

如何响应

以下响应方案可能适合此发现结果,但也可能会影响运营。 请仔细评估您在研究中收集的信息,以确定解析发现结果的最佳方法。

如需响应此发现结果,请执行以下操作:

  1. 查看工作负载,确定是否必须使用此 hostPath 卷才能实现预期功能。如果是,请确保路径指向尽可能具体的目录。例如,使用 /etc/myapp/myfiles,而不是 //etc
  2. 确定 Cloud Logging 的审核日志中是否存在与此工作负载相关的其他恶意活动迹象。

如需在集群中阻止 hostPath 卷装载,请参阅强制执行 Pod 安全标准指南

后续步骤