本文档就如何应对 Google Kubernetes Engine 资源中发现的可疑活动提供了一些非正式的指导。建议的步骤可能不适用于所有发现结果,并且可能会影响您的运营。在采取任何行动之前,您应先调查发现结果;评估收集到的信息;并决定如何应对。
本文档中的技术不能保证对您之前、当前或未来面对的任何威胁有效。如需了解 Security Command Center 不针对威胁提供正式修复指导的原因,请参阅修复威胁。
准备工作
- 查看发现结果。 查看受影响的 Google Kubernetes Engine 资源、检测到的主账号电子邮件地址和调用方 IP 地址(如有)。另请查看发现结果,了解是否存在入侵迹象(IP、网域、文件哈希或签名)。
- 如需详细了解您正在调查的发现结果,请在威胁发现结果索引中搜索该发现结果。
一般建议
- 与包含可能遭入侵的资源的项目的所有者联系。
- 确定 Cloud Logging 的审核日志中是否存在与受影响的 GKE 资源相关的其他恶意活动迹象。
- 停止或删除遭入侵的 GKE 资源,并将其替换为新资源。
- 确定 Cloud Logging 的审核日志中是否存在主账号执行的其他恶意活动迹象。
- 如果主账号是服务账号(IAM 或 Kubernetes),请查明修改来源以确定其合法性。
- 如果执行操作的主账号不是服务账号,请与该账号的所有者联系,以确认合法所有者是否执行了该操作。
- 查看有关 RBAC 角色和集群角色的最小权限原则指南。
此外,请考虑以下各部分中的建议。
添加了二进制文件或库
如果打算将添加的二进制文件、脚本或库包含在容器中,请重新构建包含该二进制文件、脚本或库的容器映像。如需了解不可变容器映像,请参阅 Kubernetes 文档中的容器映像。
与 Kubernetes 证书签名请求 (CSR) 相关的威胁
- 查看 Cloud Logging 中的审核日志和其他与 CSR 相关的事件的更多提醒。确定 CSR 是否已获批准并已颁发,以及 CSR 相关操作是否是主账号执行的预期活动。
- 如果 CSR 审批不在预期之内,或者被认定为是恶意的,集群将需要进行凭证转换以使证书失效。请查看相关指南以了解如何轮替集群凭证。
Pod 的威胁发现结果
- 查看 Pod 的清单文件及其用途。验证该 Pod 是否合法且必要。
- 如果 Pod 不合法,请将其移除,同时移除任何关联的 RBAC 绑定,以及工作负载使用的服务账号。
后续步骤
- 了解如何在 Security Command Center 中处理威胁发现结果。
- 查看威胁发现结果索引。
- 了解如何通过 Google Cloud 控制台查看发现结果。
- 了解生成威胁发现结果的服务。