Kubernetes 审计日志查找类型 - Azon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Kubernetes 审计日志查找类型

以下发现特定于 Kubernetes 资源,资源类型为EKSCluster。调查结果的严重程度和详细信息因发现类型而异。

对于所有 Kubernetes 类型的发现,我们建议您检查相关资源,以确定该活动是预期的还是潜在的恶意活动。有关修复 GuardDuty 调查结果发现的受损的 Kubernetes 资源的指导,请参阅修复由发现的 Kubernetes 安全问题 GuardDuty

注意

在 Kubernetes 版本 1.14 之前,该system:unauthenticated群组system:basic-userClusterRoles默认与system:discovery和相关联。这种关联可能允许匿名用户的意外访问。集群更新不会撤消这些权限。即使您将集群更新到版本 1.14 或更高版本,这些权限仍可能处于启用状态。我们建议您取消这些权限与system:unauthenticated群组的关联。有关撤销这些权限的指导,请参阅 Amazon EKS 最佳实践指南中的查看和撤消不必要的匿名访问权限。

CredentialAccess:Kubernetes/MaliciousIPCaller

通常用于访问 Kubernetes 集群中的凭证或机密的 API 是从已知的恶意 IP 地址调用的。

默认严重性:高

  • 数据源:Kubernetes 审核日志

此发现通知您,API 操作是从与已知恶意活动相关的 IP 地址调用的。观察到的 API 通常与证书访问策略有关,在这种策略中,对手试图为您的 Kubernetes 集群收集密码、用户名和访问密钥。

补救建议:

如果该KubernetesUserDetails部分下方的调查结果中报告的用户是system:anonymous,请调查为什么允许匿名用户调用 API 并在需要时撤消权限。如果用户是经过身份验证的用户,请调查以确定该活动是合法的还是恶意的。如果该活动是恶意的,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

通常用于访问 Kubernetes 集群中的凭证或机密的 API 是从自定义威胁列表上的 IP 地址调用的。

默认严重性:高

  • 数据源:Kubernetes 审核日志

此发现通知您,API 操作是从您上传的威胁列表中包含的 IP 地址调用的。与该发现相关的威胁列表列在调查结果详细信息的 “附加信息” 部分中。观察到的 API 通常与证书访问策略有关,在这种策略中,对手试图为您的 Kubernetes 集群收集密码、用户名和访问密钥。

补救建议:

如果该KubernetesUserDetails部分下方的调查结果中报告的用户是system:anonymous,请调查为什么允许匿名用户调用 API 并在需要时撤消权限。如果用户是经过身份验证的用户,请调查以确定该活动是合法的还是恶意的。如果该活动是恶意的,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

一个常用于访问 Kubernetes 集群中的证书或密钥的 API 是由未经身份验证的用户调用的。

默认严重性:高

  • 数据源:Kubernetes 审核日志

此发现告知您system:anonymous用户已成功调用了 API 操作。发出的 API 调system:anonymous用未经身份验证。观察到的 API 通常与证书访问策略有关,在这种策略中,对手试图为您的 Kubernetes 集群收集密码、用户名和访问密钥。此活动表示允许对调查结果中报告的 API 操作进行匿名或未经身份验证的访问,也可能允许对其他操作进行匿名或未经身份验证的访问。如果这种行为不是预料之中的,则可能表示配置错误或您的凭证已被泄露。

补救建议:

您应该检查在集群上向system:anonymous用户授予的权限,并确保需要所有权限。如果权限被错误或恶意授予,则应撤消用户的访问权限并撤消对手对集群所做的任何更改。有关指导,请参阅查看并撤消不必要的匿名访问权限

CredentialAccess:Kubernetes/TorIPCaller

一个常用于访问 Kubernetes 集群中的凭证或机密的 API 是从 Tor 出口节点 IP 地址调用的。

默认严重性:高

  • 数据源:Kubernetes 审核日志

这个发现告诉你 API 是从 Tor 出口节点 IP 地址调用的。观察到的 API 通常与证书访问策略有关,在这种策略中,攻击者试图为您的环境收集密码、用户名和访问密钥。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示未经授权访问您的 Kubernetes 集群资源,目的是隐藏攻击者的真实身份。

补救建议:

如果该KubernetesUserDetails部分下方的调查结果中报告的用户是system:anonymous,请调查为什么允许匿名用户调用 API 并在需要时撤消权限。如果用户是经过身份验证的用户,请调查以确定该活动是合法的还是恶意的。如果该活动是恶意的,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

DefenseEvasion:Kubernetes/MaliciousIPCaller

一个常用于逃避防御措施的 API 是从已知的恶意 IP 地址调用的。

默认严重性:高

  • 数据源:Kubernetes 审核日志

此发现通知您,API 操作是从与已知恶意活动相关的 IP 地址调用的。观察到的 API 通常与防御逃避策略有关,在这种策略中,对手试图隐瞒自己的行为以避免被发现。

补救建议:

如果该KubernetesUserDetails部分下方的调查结果中报告的用户是system:anonymous,请调查为什么允许匿名用户调用 API 并在需要时撤消权限。如果用户是经过身份验证的用户,请调查以确定该活动是合法的还是恶意的。如果该活动是恶意的,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

一个常用于逃避防御措施的 API 是从自定义威胁列表上的 IP 地址调用的。

默认严重性:高

  • 数据源:Kubernetes 审核日志

此发现通知您,API 操作是从您上传的威胁列表中包含的 IP 地址调用的。与该发现相关的威胁列表列在调查结果详细信息的 “附加信息” 部分中。观察到的 API 通常与防御逃避策略有关,在这种策略中,对手试图隐瞒自己的行为以避免被发现。

补救建议:

如果该KubernetesUserDetails部分下方的调查结果中报告的用户是system:anonymous,请调查为什么允许匿名用户调用 API 并在需要时撤消权限。如果用户是经过身份验证的用户,请调查以确定该活动是合法的还是恶意的。如果该活动是恶意的,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

一个常用于逃避防御措施的 API 是由未经身份验证的用户调用的。

默认严重性:高

  • 数据源:Kubernetes 审核日志

此发现告知您system:anonymous用户已成功调用了 API 操作。发出的 API 调system:anonymous用未经身份验证。观察到的 API 通常与防御逃避策略有关,在这种策略中,对手试图隐瞒自己的行为以逃避发现。此活动表示允许对调查结果中报告的 API 操作进行匿名或未经身份验证的访问,也可能允许对其他操作进行匿名或未经身份验证的访问。如果这种行为不是预料之中的,则可能表示配置错误或您的凭证已被泄露。

补救建议:

您应该检查在集群上向system:anonymous用户授予的权限,并确保需要所有权限。如果权限被错误或恶意授予,则应撤消用户的访问权限并撤消对手对集群所做的任何更改。有关指导,请参阅查看并撤消不必要的匿名访问权限

DefenseEvasion:Kubernetes/TorIPCaller

一个常用于逃避防御措施的 API 是从 Tor 出口节点 IP 地址调用的。

默认严重性:高

  • 数据源:Kubernetes 审核日志

这个发现告诉你 API 是从 Tor 出口节点 IP 地址调用的。观察到的 API 通常与防御逃避策略有关,在这种策略中,对手试图隐瞒自己的行为以避免被发现。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示未经授权访问您的 Kubernetes 集群,目的是隐藏对手的真实身份。

补救建议:

如果该KubernetesUserDetails部分下方的调查结果中报告的用户是system:anonymous,请调查为什么允许匿名用户调用 API 并在需要时撤消权限。如果用户是经过身份验证的用户,请调查以确定该活动是合法的还是恶意的。如果该活动是恶意的,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

Discovery:Kubernetes/MaliciousIPCaller

一个常用于发现 Kubernetes 集群中资源的 API 是从自定义威胁列表上的 IP 地址调用的。

默认严重性:中等

  • 数据源:Kubernetes 审核日志

此发现通知您,API 操作是从与已知恶意活动相关的 IP 地址调用的。观察到的 API 通常用于攻击的发现阶段,攻击者正在收集信息以确定您的 Kubernetes 集群是否容易受到更广泛的攻击。

补救建议:

如果该KubernetesUserDetails部分下方的调查结果中报告的用户是system:anonymous,请调查为什么允许匿名用户调用 API 并在需要时撤消权限。如果用户是经过身份验证的用户,请调查以确定该活动是合法的还是恶意的。如果该活动是恶意的,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

Discovery:Kubernetes/MaliciousIPCaller.Custom

一个常用于发现 Kubernetes 集群中资源的 API 是从自定义威胁列表上的 IP 地址调用的。

默认严重性:中等

  • 数据源:Kubernetes 审核日志

此发现通知您,API 是从您上传的威胁列表中包含的 IP 地址调用的。与该发现相关的威胁列表列在调查结果详细信息的 “附加信息” 部分中。观察到的 API 通常用于攻击的发现阶段,攻击者正在收集信息以确定您的 Kubernetes 集群是否容易受到更广泛的攻击。

补救建议:

如果该KubernetesUserDetails部分下方的调查结果中报告的用户是system:anonymous,请调查为什么允许匿名用户调用 API 并在需要时撤消权限。如果用户是经过身份验证的用户,请调查以确定该活动是合法的还是恶意的。如果该活动是恶意的,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

Discovery:Kubernetes/SuccessfulAnonymousAccess

一个常用于发现 Kubernetes 集群中资源的 API 是由未经身份验证的用户调用的。

默认严重性:中等

  • 数据源:Kubernetes 审核日志

此发现告知您system:anonymous用户已成功调用了 API 操作。发出的 API 调system:anonymous用未经身份验证。当对手正在收集有关您的 Kubernetes 集群的信息时,观察到的 API 通常与攻击的发现阶段相关联。此活动表示允许对调查结果中报告的 API 操作进行匿名或未经身份验证的访问,也可能允许对其他操作进行匿名或未经身份验证的访问。如果这种行为不是预料之中的,则可能表示配置错误或您的凭证已被泄露。

补救建议:

您应该检查在集群上向system:anonymous用户授予的权限,并确保需要所有权限。如果权限被错误或恶意授予,则应撤消用户的访问权限并撤消对手对集群所做的任何更改。有关指导,请参阅查看并撤消不必要的匿名访问权限

Discovery:Kubernetes/TorIPCaller

一个常用于发现 Kubernetes 集群中资源的 API 是从 Tor 出口节点 IP 地址调用的。

默认严重性:中等

  • 数据源:Kubernetes 审核日志

这个发现告诉你 API 是从 Tor 出口节点 IP 地址调用的。观察到的 API 通常用于攻击的发现阶段,攻击者正在收集信息以确定您的 Kubernetes 集群是否容易受到更广泛的攻击。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示未经授权访问您的 Kubernetes 集群,目的是隐藏对手的真实身份。

补救建议:

如果该KubernetesUserDetails部分下方的调查结果中报告的用户是system:anonymous,请调查为什么允许匿名用户调用 API 并在需要时撤消权限。如果用户是经过身份验证的用户,请调查以确定该活动是合法的还是恶意的。如果该活动是恶意的,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

Execution:Kubernetes/ExecInKubeSystemPod

kube-system命名空间内的 pod 内执行了一个命令

默认严重性:中等

  • 数据源:Kubernetes 审核日志

这些发现告诉你,一个命令是使用 Kubernetes exec API 在kube-system命名空间内的容器中执行的kube-system命名空间是默认命名空间,主要用于系统级组件,如kube-dnskube-proxy。在kube-system命名空间下的 pod 或容器内执行命令的情况非常少见,可能表示存在可疑活动。

补救建议:

如果意外执行此命令,则用于执行该命令的用户身份凭证可能会受到损害。撤消用户的访问权限并撤消对手对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

Impact:Kubernetes/MaliciousIPCaller

一个常用于篡改 Kubernetes 集群中资源的 API 是从一个已知的恶意 IP 地址调用的。

默认严重性:高

  • 数据源:Kubernetes 审核日志

此发现通知您,API 操作是从与已知恶意活动相关的 IP 地址调用的。观察到的 API 通常与攻击策略有关,在这种策略中,对手试图操纵、中断或销毁您的Amazon环境中的数据。

补救建议:

如果该KubernetesUserDetails部分下方的调查结果中报告的用户是system:anonymous,请调查为什么允许匿名用户调用 API 并在需要时撤消权限。如果用户是经过身份验证的用户,请调查以确定该活动是合法的还是恶意的。如果该活动是恶意的,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

Impact:Kubernetes/MaliciousIPCaller.Custom

一个常用于篡改 Kubernetes 集群中资源的 API 是从自定义威胁列表上的 IP 地址调用的。

默认严重性:高

  • 数据源:Kubernetes 审核日志

此发现通知您,API 操作是从您上传的威胁列表中包含的 IP 地址调用的。与该发现相关的威胁列表列在调查结果详细信息的 “附加信息” 部分中。观察到的 API 通常与攻击策略有关,在这种策略中,对手试图操纵、中断或销毁您的Amazon环境中的数据。

补救建议:

如果该KubernetesUserDetails部分下方的调查结果中报告的用户是system:anonymous,请调查为什么允许匿名用户调用 API 并在需要时撤消权限。如果用户是经过身份验证的用户,请调查以确定该活动是合法的还是恶意的。如果该活动是恶意的,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

Impact:Kubernetes/SuccessfulAnonymousAccess

一个常用于篡改 Kubernetes 集群中资源的 API 是由未经身份验证的用户调用的。

默认严重性:高

  • 数据源:Kubernetes 审核日志

此发现告知您system:anonymous用户已成功调用了 API 操作。发出的 API 调system:anonymous用未经身份验证。当对手篡改集群中的资源时,观察到的 API 通常与攻击的影响阶段相关联。此活动表示允许对调查结果中报告的 API 操作进行匿名或未经身份验证的访问,也可能允许对其他操作进行匿名或未经身份验证的访问。如果这种行为不是预料之中的,则可能表示配置错误或您的凭证已被泄露。

补救建议:

您应该检查在集群上向system:anonymous用户授予的权限,并确保需要所有权限。如果权限被错误或恶意授予,则应撤消用户的访问权限并撤消对手对集群所做的任何更改。有关指导,请参阅查看并撤消不必要的匿名访问权限

Impact:Kubernetes/TorIPCaller

一个常用于篡改 Kubernetes 集群中资源的 API 是从 Tor 出口节点 IP 地址调用的。

默认严重性:高

  • 数据源:Kubernetes 审核日志

这个发现告诉你 API 是从 Tor 出口节点 IP 地址调用的。观察到的 API 通常与攻击策略有关,在这种策略中,对手试图操纵、中断或销毁您的Amazon环境中的数据。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示未经授权访问您的 Kubernetes 集群,目的是隐藏对手的真实身份。

补救建议:

如果该KubernetesUserDetails部分下方的调查结果中报告的用户是system:anonymous,请调查为什么允许匿名用户调用 API 并在需要时撤消权限。如果用户是经过身份验证的用户,请调查以确定该活动是合法的还是恶意的。如果该活动是恶意的,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

Persistence:Kubernetes/ContainerWithSensitiveMount

启动了一个容器,里面装有敏感的外部主机路径。

默认严重性:中等

  • 数据源:Kubernetes 审核日志

此发现告诉您,启动容器时使用的配置在该volumeMounts部分中包含具有写入权限的敏感主机路径。这使得敏感的主机路径可以从容器内部访问和写入。攻击者通常使用这种技术来获得对主机文件系统的访问权限。

补救建议:

如果此容器启动是意外的,则用于启动容器的用户身份凭证可能会被泄露。撤消用户的访问权限并撤消对手对您的集群所做的任何更改。有关指导,请参阅修复 Kubernetes 的调查结果。如果预计会启动此容器,则建议您使用由基于该resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix字段的筛选条件组成的隐藏规则。在筛选条件中,该imagePrefix字段应与调查结果中imagePrefix指定的字段相同。要了解有关创建隐藏规则的更多信息,请参阅抑制规则

Persistence:Kubernetes/MaliciousIPCaller

一个常用于获取 Kubernetes 集群永久访问权限的 API 是从已知的恶意 IP 地址调用的。

默认严重性:中等

  • 数据源:Kubernetes 审核日志

此发现通知您,API 操作是从与已知恶意活动相关的 IP 地址调用的。观察到的 API 通常与持续策略有关,在这种策略中,对手已获得您的 Kubernetes 集群的访问权限并试图保持该访问权限。

补救建议:

如果该KubernetesUserDetails部分下方的调查结果中报告的用户是system:anonymous,请调查为什么允许匿名用户调用 API 并在需要时撤消权限。如果用户是经过身份验证的用户,请调查以确定该活动是合法的还是恶意的。如果该活动是恶意的,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

Persistence:Kubernetes/MaliciousIPCaller.Custom

一个常用于获取 Kubernetes 集群持久访问权限的 API 是从自定义威胁列表上的 IP 地址调用的。

默认严重性:中等

  • 数据源:Kubernetes 审核日志

此发现通知您,API 操作是从您上传的威胁列表中包含的 IP 地址调用的。与该发现相关的威胁列表列在调查结果详细信息的 “附加信息” 部分中。观察到的 API 通常与持续策略有关,在这种策略中,对手已获得您的 Kubernetes 集群的访问权限并试图保持该访问权限。

补救建议:

如果该KubernetesUserDetails部分下方的调查结果中报告的用户是system:anonymous,请调查为什么允许匿名用户调用 API 并在需要时撤消权限。如果用户是经过身份验证的用户,请调查以确定该活动是合法的还是恶意的。如果该活动是恶意的,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

Persistence:Kubernetes/SuccessfulAnonymousAccess

一个通常用于获取 Kubernetes 集群高级权限的 API 是由未经身份验证的用户调用的。

默认严重性:高

  • 数据源:Kubernetes 审核日志

此发现告知您system:anonymous用户已成功调用了 API 操作。发出的 API 调system:anonymous用未经身份验证。观察到的 API 通常与持续策略有关,在这种策略中,对手已获得对您的集群的访问权限并试图保持该访问权限。此活动表示允许对调查结果中报告的 API 操作进行匿名或未经身份验证的访问,也可能允许对其他操作进行匿名或未经身份验证的访问。如果这种行为不是预料之中的,则可能表示配置错误或您的凭证已被泄露。

补救建议:

您应该检查在集群上向system:anonymous用户授予的权限,并确保需要所有权限。如果权限被错误或恶意授予,则应撤消用户的访问权限并撤消对手对集群所做的任何更改。有关指导,请参阅查看并撤消不必要的匿名访问权限

Persistence:Kubernetes/TorIPCaller

一个常用于获取 Kubernetes 集群永久访问权限的 API 是从 Tor 出口节点 IP 地址调用的。

默认严重性:中等

  • 数据源:Kubernetes 审核日志

这个发现告诉你 API 是从 Tor 出口节点 IP 地址调用的。观察到的 API 通常与持续策略有关,在这种策略中,对手已获得您的 Kubernetes 集群的访问权限并试图保持该访问权限。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示未经授权访问您的Amazon资源,目的是隐藏攻击者的真实身份。

补救建议:

如果该KubernetesUserDetails部分下方的调查结果中报告的用户是system:anonymous,请调查为什么允许匿名用户调用 API 并在需要时撤消权限。如果用户是经过身份验证的用户,请调查以确定该活动是合法的还是恶意的。如果该活动是恶意的,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

默认服务帐号被授予 Kubernetes 集群的管理员权限。

默认严重性:高

  • 数据源:Kubernetes 审核日志

此发现告知您,您的 Kubernetes 集群中命名空间的默认服务账户已被授予管理员权限。Kubernetes 为集群中的所有命名空间创建一个默认服务账户。它会自动将默认服务帐号作为身份分配给未明确关联到其他服务帐号的 pod。如果默认服务帐号具有管理员权限,则可能导致无意中以管理员权限启动 pod。如果这种行为不是预料之中的,则可能表示配置错误或您的凭证已被泄露。

补救建议:

您不应使用默认服务帐号向 Pod 授予权限。相反,您应该为每个工作负载创建一个专用服务帐户,并根据需要向该帐户授予权限。要修复此问题,您应该为所有容器和工作负载创建专用服务帐号,并更新 Pod 和工作负载以从默认服务帐号迁移到其专用账户。然后,您应该从默认服务帐户中删除管理员权限。修复 Kubernetes 的发现有关其他指导和资源,请参阅。

Policy:Kubernetes/AnonymousAccessGranted

system:anonymous用户被授予 Kubernetes 集群的 API 权限。

默认严重性:高

  • 数据源:Kubernetes 审核日志

此发现告知您,您的 Kubernetes 集群上的用户成功创建了ClusterRoleBinding或将该用户绑定RoleBindingsystem:anonymous到角色。这允许对角色允许的 API 操作进行未经身份验证的访问。如果这种行为不是预料之中的,则可能表示配置错误或您的凭证已被泄露

补救建议:

您应检查已授予集群system:anonymous用户或群system:unauthenticated组的权限,并撤消不必要的匿名访问权限。有关指导,请参阅查看并撤消不必要的匿名访问权限。如果权限是恶意授予的,则应撤消授予权限的用户的访问权限,并撤消对手对您的集群所做的任何更改。有关指导,请参阅修复 Kubernetes 的调查结果

Policy:Kubernetes/ExposedDashboard

Kubernetes 集群的仪表板已在互联网上公开

默认严重性:中等

  • 数据源:Kubernetes 审核日志

这一发现告知您,您的集群的 Kubernetes 仪表板已由Load Balancer 服务公开到互联网。暴露的仪表板使您可以从互联网访问集群的管理界面,并允许攻击者利用可能存在的任何身份验证和访问控制漏洞。

补救建议:

您应该确保在 Kubernetes 控制面板上强制执行强身份验证和授权。您还应该实施网络访问控制,以限制从特定 IP 地址访问仪表板。

Policy:Kubernetes/KubeflowDashboardExposed

Kubernetes 集群的 Kubeflow 仪表板已在互联网上公开

默认严重性:中等

  • 数据源:Kubernetes 审核日志

此发现告知您,您的集群的 Kubeflow 控制面板已由Load Balancer 服务公开到互联网。公开的 Kubeflow 仪表板使您可以从互联网访问您的 Kubeflow 环境的管理界面,并允许攻击者利用可能存在的任何身份验证和访问控制漏洞。

补救建议:

您应确保在 Kubeflow 控制面板上强制执行强身份验证和授权。您还应该实施网络访问控制,以限制从特定 IP 地址访问仪表板。

PrivilegeEscalation:Kubernetes/PrivilegedContainer

在您的 Kubernetes 集群上启动了一个具有根级访问权限的特权容器。

默认严重性:中等

  • 数据源:Kubernetes 审核日志

这个发现告诉你,在你的 Kubernetes 集群上启动了一个特权容器,使用镜像以前从未用于启动集群中的特权容器。特权容器对主机具有根级别的访问权限。对手可以启动特权容器作为权限升级策略来获取访问权限,然后危害主机。

补救建议:

如果此容器启动是意外的,则用于启动容器的用户身份凭证可能会被泄露。撤消用户的访问权限并撤消对手对您的集群所做的任何更改。有关指导修复 Kubernetes 的发现,请参阅。