Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.
Vista geral
Alguém criou uma carga de trabalho que contém uma montagem de volume num caminho sensível no sistema de ficheiros do nó anfitrião.hostPath O acesso a estes caminhos no sistema de ficheiros do anfitrião pode ser usado para aceder a informações privilegiadas ou confidenciais no nó e para fugas de contentores. Se possível, não permita volumes hostPath no seu cluster. Para mais detalhes, consulte a mensagem de registo deste alerta.
A Deteção de ameaças com base em eventos é a origem desta descoberta.
Como responder
O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.
Para responder a esta descoberta, faça o seguinte:
- Reveja a carga de trabalho para determinar se este volume de
hostPathé necessário para a funcionalidade pretendida. Se sim, certifique-se de que o caminho é para o diretório mais específico possível. Por exemplo,/etc/myapp/myfilesem vez de/ou/etc. - Determine se existem outros sinais de atividade maliciosa relacionados com esta carga de trabalho nos registos de auditoria no Cloud Logging.
Para bloquear as montagens de volumes hostPath no cluster, consulte as orientações para aplicar as normas de segurança de pods.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.