Rechteausweitung: ClusterRole mit privilegierten Verben

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Jemand hat ein RBAC-ClusterRole-Objekt erstellt, das die Verben bind, escalate oder impersonate enthält. Ein Subjekt, das an eine Rolle mit diesen Verben gebunden ist, kann andere Nutzer mit höheren Berechtigungen imitieren, an zusätzliche Role- oder ClusterRole-Objekte mit zusätzlichen Berechtigungen gebunden werden oder seine eigenen ClusterRole-Berechtigungen ändern. Das kann dazu führen, dass diese Themen cluster-admin-Berechtigungen erhalten. Weitere Informationen finden Sie in der Log-Meldung für diese Benachrichtigung.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

  1. Überprüfen Sie die ClusterRole und die zugehörigen ClusterRoleBindings, um festzustellen, ob die Eigentümer diese Berechtigungen tatsächlich benötigen.
  2. Erstellen Sie nach Möglichkeit keine Rollen, die die Verben bind, escalate oder impersonate beinhalten.
  3. Stellen Sie fest, ob die Audit-Logs in Cloud Logging weitere Anzeichen für schädliche Aktivitäten des Hauptkontos enthalten.
  4. Verwenden Sie beim Zuweisen von Berechtigungen in einer RBAC-Rolle das Prinzip der geringsten Berechtigung und gewähren Sie die Mindestberechtigungen, die zum Ausführen einer Aufgabe erforderlich sind. Das Prinzip der geringsten Berechtigung reduziert das Risiko einer Rechteausweitung, wenn Ihr Cluster manipuliert wurde, und verringert die Wahrscheinlichkeit, dass übermäßiger Zugriff zu einem Sicherheitsvorfall führt.

Nächste Schritte