Élévation des privilèges : ClusterRole contenant des verbes avec privilèges

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Quelqu'un a créé un objet ClusterRole RBAC qui contient les verbes bind, escalate ou impersonate. Un sujet lié à un rôle avec ces verbes peut emprunter l'identité d'autres utilisateurs disposant de droits plus élevés, se lier à des objets Role ou ClusterRole supplémentaires contenant des autorisations supplémentaires, ou modifier ses propres autorisations ClusterRole. Cela peut entraîner l'obtention de privilèges cluster-admin par ces sujets. Pour en savoir plus, consultez le message du journal associé à cette alerte.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

  1. Examinez le ClusterRole et les ClusterRoleBindings associés pour vérifier si les sujets ont réellement besoin de ces autorisations.
  2. Si possible, évitez de créer des rôles qui impliquent les verbes bind, escalate ou impersonate.
  3. Déterminez s'il existe d'autres signes d'activité malveillante de la part du compte principal dans les journaux d'audit de Cloud Logging.
  4. Lorsque vous attribuez des autorisations dans un rôle RBAC, appliquez le principe du moindre privilège en n'accordant que les autorisations minimales nécessaires pour effectuer une tâche. Le principe du moindre privilège réduit le risque d'élévation des privilèges si votre cluster est compromis, ainsi que la probabilité d'un incident de sécurité en cas d'autorisations d'accès excessives.

Étapes suivantes