權限提升:透過敏感主機路徑掛接而建立的工作負載

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

有人建立的工作負載包含 hostPath 磁碟區,並掛接到主機節點檔案系統的敏感路徑。存取主機檔案系統上的這些路徑,可用於存取節點上的特殊權限或私密資訊,以及用於容器逸出。請盡可能不要在叢集中使用任何 hostPath 磁碟區。詳情請參閱這項快訊的記錄訊息。

回應方式

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

如要回應這項發現,請按照下列步驟操作:

  1. 檢查工作負載,判斷所要功能是否需要這個 hostPath 磁碟區。如果是,請務必提供最完整的目錄路徑時,例如,顯示 /etc/myapp/myfiles,而不是 //etc
  2. 請查看 Cloud Logging 中的稽核記錄,判斷是否有與這項工作負載相關的其他惡意活動跡象。

如要封鎖叢集中的 hostPath 磁碟區掛接作業,請參閱強制執行 Pod 安全性標準的指南

後續步驟