このドキュメントでは、Google Kubernetes Engine リソースで不審なアクティビティの検出結果に対応する方法について、非公式なガイダンスを提供します。推奨される手順は、すべての検出結果に適しているとは限らず、オペレーションに影響する可能性があります。対応を行う前に、検出結果を調査し、収集した情報を評価して、対応方法を決定する必要があります。
このドキュメントの手法が、過去、現在または将来において、直面する脅威に対して有効であるとは限りません。Security Command Center が脅威に対する公式の修正策を提供していない理由については、脅威の修復をご覧ください。
始める前に
- 検出結果を確認します。影響を受ける Google Kubernetes Engine リソース、検出されたプリンシパル メール、呼び出し元 IP アドレス(存在する場合)を確認します。また、侵害の指標(IP、ドメイン、ファイル ハッシュ、シグネチャ)がないか、検出結果を確認します。
- 調査している検出結果の詳細については、脅威の検出結果インデックスで検出結果を検索してください。
一般的な推奨事項
- 不正使用された可能性があるリソースを含むプロジェクトのオーナーに連絡します。
- Cloud Logging で監査ログを参照して、影響を受ける GKE リソースに関連する悪意のあるアクティビティを示す徴候が他にないか判断します。
- 不正使用された GKE リソースを停止または削除し、新しいリソースに置き換えます。
- Cloud Logging で監査ログを参照して、プリンシパルによる悪意のあるアクティビティを示す徴候が他にないか判断します。
- プリンシパルがサービス アカウント(IAM または Kubernetes)である場合は、変更のソースを特定して、正当性を判断します。
- アクションを実行したプリンシパルがサービス アカウントでない場合は、アカウントの所有者に連絡して、正当な所有者がアクションを行ったかどうかを確認します。
- RBAC ロールとクラスタロールに対する最小権限の原則に関するガイダンスを確認してください。
また、次のセクションの推奨事項も検討してください。
追加されたバイナリまたはライブラリ
追加したバイナリ、スクリプト、ライブラリをコンテナに含める予定の場合は、そのバイナリ、スクリプト、ライブラリを含めてコンテナ イメージを再ビルドします。不変コンテナ イメージについては、Kubernetes ドキュメントのコンテナ イメージをご覧ください。
Kubernetes 証明書署名リクエスト(CSR)に関連する脅威
- Cloud Logging の監査ログと、他の CSR 関連イベントに関する追加のアラートを確認します。CSR が承認されて発行されたかどうか、および CSR 関連のアクションがプリンシパルによって想定されているかどうかを判断します。
- CSR 承認が想定されていなかった場合、または悪意のあるものであると判断された場合、証明書を無効にするにはクラスタで認証情報のローテーションが必要になります。クラスタ認証情報のローテーションに関するガイダンスを確認してください。
Pod の脅威の検出結果
- Pod のマニフェスト ファイルとその目的を確認します。Pod が正当で必要なものであることを確認します。
- Pod が不正な場合は、その Pod、関連するすべての RBAC バインディング、ワークロードが使用したサービス アカウントを削除します。
次のステップ
- Security Command Center で脅威の検出結果を操作する方法を学習する。
- 脅威の検出結果のインデックスを参照してください。
- Google Cloud コンソールで検出結果を確認する方法を学習する。
- 脅威の検出結果を生成するサービスについて学習する。