이 문서는 Google Kubernetes Engine 리소스에서 의심스러운 활동 발견 시 대응하는 방법에 관한 비공식 가이드를 제공합니다. 권장 단계가 모든 발견 사항에 적합한 것은 아니며 작업에 영향을 미칠 수 있습니다. 조치를 취하기 전에 발견 사항을 조사하고 수집한 정보를 평가하고 어떻게 대응할지 결정해야 합니다.
이 문서에 나와 있는 기법이 과거, 현재 또는 미래의 모든 위협에 대해 효과적이라고 보장할 수는 없습니다. Security Command Center에서 위협에 대한 공식 해결 방법을 제공하지 않는 이유를 알아보려면 위협 해결을 확인하세요.
시작하기 전에
- 발견 사항을 검토합니다. 영향을 받은 Google Kubernetes Engine 리소스, 감지된 주 구성원 이메일, 호출자 IP 주소(있는 경우)를 검토합니다. 보안 침해 지표(IP, 도메인, 파일 해시 또는 서명)에 대한 발견 사항도 검토합니다.
- 조사 중인 발견 사항에 대해 자세히 알아보려면 위협 발견 사항 색인에서 발견 사항을 검색합니다.
일반 권장사항
- 보안 침해가 의심되는 리소스가 포함된 프로젝트의 소유자에게 연락하세요.
- Cloud Logging의 감사 로그에서 영향을 받은 GKE 리소스와 관련된 다른 악의적인 활동 징후가 있는지 확인하세요.
- 보안 침해된 GKE 리소스를 중지 또는 삭제하고 새 리소스로 바꾸세요.
- Cloud Logging의 감사 로그에서 주 구성원에 의한 다른 악의적인 활동 징후가 있는지 확인하세요.
- 주 구성원이 서비스 계정(IAM 또는 Kubernetes)인 경우 수정 소스를 식별하여 정당성을 확인하세요.
- 해당 작업을 수행한 주 구성원이 서비스 계정이 아니라면 계정 소유자에게 연락하여 정당한 소유자가 작업을 수행한 것인지 확인하세요.
- RBAC 역할 및 클러스터 역할에 대해 최소 권한의 원칙 관련 안내를 검토하세요.
다음 섹션에 제시된 권장사항도 고려하세요.
추가된 바이너리 또는 라이브러리
추가된 바이너리, 스크립트 또는 라이브러리가 컨테이너에 포함되었어야 하는 경우 해당 바이너리, 스크립트 또는 라이브러리를 포함하도록 컨테이너 이미지를 다시 빌드합니다. 변경 불가능한 컨테이너 이미지에 대한 자세한 내용은 Kubernetes 문서의 컨테이너 이미지를 확인하세요.
Kubernetes 인증서 서명 요청(CSR)과 관련된 위협
- Cloud Logging의 감사 로그와 추가 알림을 검토하여 다른 CSR 관련 이벤트가 있는지 확인하세요. 또한 해당 CSR이 승인 및 발급되었는지, 주 구성원이 CSR 관련 작업을 수행했을 것으로 예상되는지 판단하세요.
- CSR 승인이 예상되지 않았거나 악의적인 것으로 판단되면 인증서를 무효화하기 위해 클러스터의 사용자 인증 정보 순환이 필요합니다. 클러스터 사용자 인증 정보 순환에 대한 안내를 검토하세요.
포드 관련 위협 발견 사항
- 포드의 매니페스트 파일과 해당 포드의 용도를 검토하세요. 포드가 정당하며 필요한 리소스인지 확인합니다.
- 포드가 정당하지 않은 경우 해당 워크로드가 사용한 관련 RBAC 바인딩 및 서비스 계정과 함께 이 포드를 삭제하세요.
다음 단계
- Security Command Center에서 위협 발견 사항 작업 방법 알아보기
- 위협 발견 사항 색인 참고
- Google Cloud 콘솔을 통해 발견 사항을 검토하는 방법 알아보기
- 위협 발견 사항을 생성하는 서비스 알아보기