Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.
Visão geral
Alguém criou uma carga de trabalho que contém uma montagem de volume hostPath para um
caminho sensível no sistema de arquivos do nó host. O acesso a esses caminhos no sistema de arquivos do host pode ser usado para acessar informações sensíveis ou sensíveis no nó e para escapar do contêiner. Se possível, não permita volumes hostPath no cluster. Para mais detalhes, consulte a mensagem de registro desse alerta.
O Event Threat Detection é a origem dessa descoberta.
Como responder
O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.
Para responder a essa descoberta:
- Analise a carga de trabalho para determinar se esse volume de
hostPathé necessário para a funcionalidade pretendida. Se sim, verifique se o caminho está no diretório mais específico possível. Por exemplo,/etc/myapp/myfilesem vez de/ou/etc. - Determine se há outros sinais de atividade maliciosa relacionados a essa carga de trabalho nos registros de auditoria no Cloud Logging.
Para bloquear montagens de volume de hostPath no cluster, consulte orientações sobre como aplicar os padrões de segurança do pod.
A seguir
- Saiba como usar descobertas de ameaças no Security Command Center.
- Consulte Índice de descobertas de ameaças.
- Aprenda a analisar uma descoberta no console do Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.