이 문서에서는 Google Kubernetes Engine 리소스에서 의심스러운 활동이 발견되었을 때 대응하는 방법에 관한 비공식 가이드를 제공합니다. 권장 단계가 모든 발견 결과에 적합하지 않을 수 있으며 작업에 영향을 미칠 수 있습니다. 조치를 취하기 전에 결과를 조사하고, 수집한 정보를 평가하고, 대응 방법을 결정해야 합니다.
이 문서의 기법이 과거, 현재 또는 미래의 모든 위협에 대해 효과적이라고 보장할 수는 없습니다. Security Command Center에서 위협에 대한 공식 해결 방법을 제공하지 않는 이유를 알아보려면 위협 해결을 참고하세요.
시작하기 전에
- 결과 검토 영향을 받는 Google Kubernetes Engine 리소스, 감지된 주 구성원 이메일, 호출자 IP 주소 (있는 경우)를 검토합니다. 또한 침해 지표 (IP, 도메인, 파일 해시 또는 서명)에 대한 결과를 검토합니다.
- 조사 중인 발견 항목에 대해 자세히 알아보려면 위협 발견 항목 색인에서 발견 항목을 검색하세요.
일반 권장사항
- 침해되었을 수 있는 리소스가 포함된 프로젝트의 소유자에게 문의하세요.
- Cloud Logging의 감사 로그에서 영향을 받는 GKE 리소스와 관련된 다른 악의적인 활동 징후가 있는지 확인하세요.
- 침해된 GKE 리소스를 중지 또는 삭제하고 새 리소스로 바꿉니다.
- Cloud Logging의 감사 로그에서 주 구성원에 의한 다른 악의적인 활동 징후가 있는지 확인하세요.
- 주 구성원이 서비스 계정 (IAM 또는 Kubernetes)인 경우 수정 소스를 식별하여 정당성을 확인하세요.
- 작업을 수행한 주 구성원이 서비스 계정이 아닌 경우 계정 소유자에게 연락하여 적법한 소유자가 작업을 수행했는지 확인합니다.
- RBAC 역할 및 클러스터 역할의 최소 권한의 원칙에 대한 안내를 검토하세요.
또한 다음 섹션의 권장사항을 고려하세요.
바이너리 또는 라이브러리 추가
추가된 바이너리, 스크립트 또는 라이브러리가 컨테이너에 포함되도록 의도된 경우 바이너리, 스크립트 또는 라이브러리가 포함된 컨테이너 이미지를 다시 빌드합니다. 변경 불가능한 컨테이너 이미지에 대한 자세한 내용은 Kubernetes 문서의 컨테이너 이미지를 참고하세요.
Kubernetes 인증서 서명 요청 (CSR)과 관련된 위협
- Cloud Logging의 감사 로그와 기타 CSR 관련 이벤트에 대한 추가 알림을 검토합니다. CSR이 승인되고 발급되었는지, CSR 관련 작업이 주 구성원에 의한 예상된 활동인지 확인합니다.
- CSR 승인이 예상되지 않았거나 악의적인 것으로 확인되면 인증서를 무효화하기 위해 클러스터에 사용자 인증 정보 순환이 필요합니다. 클러스터 사용자 인증 정보 순환에 대한 안내를 검토하세요.
포드의 위협 발견 항목
- 포드의 매니페스트 파일과 목적을 검토합니다. 포드가 합법적이고 필요한지 확인합니다.
- 포드가 불법인 경우 워크로드에서 사용한 연결된 RBAC 바인딩 및 서비스 계정과 함께 이 포드를 삭제하세요.
다음 단계
- Security Command Center에서 위협 발견 항목을 사용하는 방법을 알아보세요.
- 위협 발견 항목 색인을 참고하세요.
- Google Cloud 콘솔을 통해 결과를 검토하는 방법을 알아봅니다.
- 위협 결과를 생성하는 서비스에 대해 알아봅니다.