이 문서에서는 Security Command Center의 위협 발견 항목 유형에 대해 설명합니다. 위협 발견 항목은 위협 감지기가 클라우드 리소스에서 잠재적인 위협을 감지할 때 생성됩니다. 사용 가능한 위협 발견 항목의 전체 목록은 위협 발견 항목 색인을 참고하세요.
개요
누군가 bind, escalate 또는 impersonate 동사가 포함된 RBAC ClusterRole을 만들었습니다. 이러한 동사로 역할에 바인딩된 주체는 더 높은 권한을 가진 다른 사용자를 가장하거나, 추가 권한이 포함된 추가 Role 또는 ClusterRole 객체에 바인딩하거나, 자체 ClusterRole 권한을 수정할 수 있습니다. 이로 인해 해당 주체가 cluster-admin 권한을 얻게 될 수 있습니다. 자세한 내용은 이 알림의 로그 메시지를 참조하세요.
대응 방법
이 발견 항목에 대응하려면 다음을 수행하세요.
ClusterRole및 연결된ClusterRoleBindings를 검토하여 주체에 이러한 권한이 실제로 필요한지 확인하세요.- 가능하다면
bind,escalate또는impersonate동사가 포함된 역할을 만들지 마세요. - Cloud Logging의 감사 로그에서 주 구성원에 의한 다른 악의적인 활동 징후가 있는지 확인하세요.
- RBAC 역할에 권한을 할당할 때 최소 권한의 원칙에 따라 작업 수행에 필요한 최소 권한을 부여하세요. 최소 권한의 원칙을 사용하면 클러스터의 보안이 침해되었을 때 권한 에스컬레이션 가능성이 줄어들고 과도한 액세스로 인한 보안 사고가 발생할 가능성이 줄어듭니다.
다음 단계
- Security Command Center에서 위협 발견 항목을 사용하는 방법을 알아보세요.
- 위협 발견 항목 색인을 참고하세요.
- Google Cloud 콘솔을 통해 결과를 검토하는 방법을 알아봅니다.
- 위협 결과를 생성하는 서비스에 대해 알아봅니다.