Container Threat Detection erkennt Bedrohungen in laufenden GKE-Containern. Kernel-Level Monitoring identifiziert Cryptominer, Malware und verdächtige Aktivitäten in Echtzeit.
Was ist Container Threat Detection?
Container Threat Detection ist ein Security-Feature für Google Kubernetes Engine (GKE). Es überwacht Systemcalls und Prozessaktivitäten auf Kernel-Ebene und erkennt bekannte Angriffsmuster.
Erkannte Bedrohungen werden an Security Command Center gemeldet, wo Sie sie analysieren und darauf reagieren können.
Erkannte Bedrohungen
Cryptocurrency Mining
Erkennung von Mining-Software wie XMRig oder bekannten Mining-Pools. Cryptojacking ist eine häufige Bedrohung bei kompromittierten Containern.
Malicious Scripts
Verdächtige Shell-Skripte, die häufig bei Angriffen verwendet werden:
- Reverse Shells
- Download und Ausführung von Payloads
- Privilege Escalation Versuche
Suspicious Binaries
Ausführung von Binaries, die normalerweise nicht in Containern laufen sollten:
- Netzwerk-Scanner (nmap, masscan)
- Exploitation Tools
- Unbekannte ausführbare Dateien
Container Escapes
Versuche, aus dem Container auszubrechen:
- Host-Mount Zugriffe
- Privilegierte Operationen
- Kernel-Module laden
Wie funktioniert es?
┌─────────────────────────────────────────────────┐
│ GKE Cluster │
│ ┌─────────────┐ ┌─────────────┐ ┌──────────┐ │
│ │ Container │ │ Container │ │ ... │ │
│ └──────┬──────┘ └──────┬──────┘ └────┬─────┘ │
│ │ │ │ │
│ ┌──────▼──────────────▼───────────────▼─────┐ │
│ │ Kernel-Level Agent │ │
│ │ (Syscall Monitoring, eBPF) │ │
│ └──────────────────┬────────────────────────┘ │
└─────────────────────┼──────────────────────────┘
│
▼
┌────────────────────────┐
│ Security Command Center │
│ (Findings & Alerts) │
└────────────────────────┘Integration
Container Threat Detection integriert mit:
- Security Command Center: Zentrale Ansicht aller Findings
- Cloud Logging: Detaillierte Logs für Forensik
- Pub/Sub: Automatische Reaktionen triggern
- Cloud Functions: Custom Response Actions
Defense in Depth
| Schicht | Tool | Funktion |
|---|---|---|
| Build | Container Analysis | Vulnerability Scanning |
| Deploy | Binary Authorization | Nur signierte Images |
| Runtime | Container Threat Detection | Angriffserkennung |
| Network | GKE Network Policy | Mikrosegmentierung |
Vorteile
- Kernel-Level: Erkennung auch bei Container-Escape-Versuchen
- Low Overhead: Minimale Performance-Auswirkungen
- Keine Agents: Automatisch in GKE integriert
- Automatisierbar: Reaktionen via Cloud Functions
Integration mit innFactory
Als Google Cloud Partner unterstützt innFactory Sie bei Container Threat Detection: GKE Security Hardening, SCC-Konfiguration und Incident Response Playbooks.
Typische Anwendungsfälle
Technische Spezifikationen
Häufig gestellte Fragen
Was ist Container Threat Detection?
Container Threat Detection ist ein GKE-Security-Feature, das Bedrohungen in laufenden Containern erkennt. Es analysiert Systemcalls und Prozessaktivitäten auf Kernel-Ebene und meldet verdächtige Aktivitäten an Security Command Center.
Welche Bedrohungen erkennt Container Threat Detection?
Cryptocurrency Mining (z.B. XMRig), bekannte Malware und Exploits, verdächtige Shell-Aktivitäten, Reverse Shells und Backdoors, ungewöhnliche Binary-Ausführungen und privilegierte Container-Operationen.
Wie unterscheidet sich Container Threat Detection von Binary Authorization?
Binary Authorization verhindert das Deployment nicht-signierter Images (präventiv). Container Threat Detection erkennt Bedrohungen in bereits laufenden Containern (detektiv). Beide ergänzen sich in einer Defense-in-Depth-Strategie.
Was kostet Container Threat Detection?
Container Threat Detection ist Teil von Security Command Center Premium. SCC Premium kostet basierend auf der Anzahl überwachter Assets. Für GKE-Cluster mit wenigen Nodes typischerweise $100-500/Monat.
Wie reagiere ich auf erkannte Bedrohungen?
Findings erscheinen in Security Command Center. Sie können automatische Reaktionen mit Cloud Functions oder Pub/Sub konfigurieren, z.B. verdächtige Pods automatisch terminieren oder Alerts an Slack senden.
