權限提升：已啟用 shareProcessNamespace 的工作負載

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

有人部署工作負載時，將 shareProcessNamespace 選項設為 true，允許所有容器共用相同的 Linux 程序命名空間。這可能會導致不受信任或遭入侵的容器存取及控管環境變數、記憶體，以及其他容器中執行的程序所含的機密資料，進而提升權限。基於正當理由，部分工作負載可能需要這項功能才能運作，例如記錄處理輔助容器或偵錯容器。詳情請參閱這則快訊的記錄訊息。

回應方式

如要回應這項發現，請按照下列步驟操作：

1. 確認工作負載確實需要存取工作負載中所有容器共用的程序命名空間。
2. 檢查 Cloud Logging 稽核記錄中，是否有主體進行惡意活動的其他跡象。
3. 如果主體並非服務帳戶 (IAM 或 Kubernetes)，請與帳戶擁有者聯絡，確認對方是否執行了這項操作。
4. 如果主體為服務帳戶 (IAM 或 Kubernetes)，請判斷導致服務帳戶執行這項操作的原因是否正當。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。