En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.
Descripción general
Alguien creó un objeto ClusterRole de RBAC que contiene los verbos bind, escalate o impersonate. Un sujeto vinculado a un rol con estos verbos puede suplantar a otros usuarios con privilegios más altos, vincularse a objetos Role o ClusterRole adicionales que contengan permisos adicionales o modificar sus propios permisos de ClusterRole. Esto podría hacer que esos sujetos obtengan privilegios de cluster-admin. Para obtener más detalles, consulta el mensaje de registro de esta alerta.
Cómo responder
Para responder a este hallazgo, haz lo siguiente:
- Revisa el
ClusterRoley elClusterRoleBindingsasociado para verificar si los sujetos realmente requieren estos permisos. - Si es posible, evita crear roles que involucren los verbos
bind,escalateoimpersonate. - Determina si hay otros indicios de actividad maliciosa por parte de la principal en los registros de auditoría de Cloud Logging.
- Cuando asignes permisos en un rol de RBAC, usa el principio de privilegio mínimo y otorga los permisos mínimos necesarios para realizar una tarea. Con el uso del principio de privilegio mínimo, se reduce el potencial de elevación de privilegios si tu clúster se ve comprometido y se reduce la probabilidad de que un acceso desmedido provoque un incidente de seguridad.
¿Qué sigue?
- Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
- Consulta el Índice de resultados de amenazas.
- Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
- Obtén más información sobre los servicios que generan hallazgos de amenazas.