Prisma Cloud Compute: el defensor integrado en la aplicación no permite ciertas acciones privilegiadas en AWS Fargate
2742
Created On 09/10/24 19:14 PM - Last Modified 02/19/25 17:57 PM
Symptom
Aparece un mensaje de "operación no permitida" cuando un usuario intenta ejecutar acciones privilegiadas, como cambiar el UID o ejecutar chown en fargate cuando se implementan defensores integrados en la aplicación.
Environment
Prisma Cloud Compute Edition v33 y anteriores
Prisma Cloud Enterprise Edition v33 y anteriores
Defensores integrados en aplicaciones en AWS Fargate
Cause
1. La función de refuerzo del defensor en Fargate permite que un proceso solo ejecute un conjunto predefinido de llamadas al sistema y bloquea las no autorizadas o riesgosas. Esto minimiza la superficie de ataque y ayuda a protegerse contra posibles amenazas o vulnerabilidades.
2. Además, se utiliza "no_new_privs" para evitar que cualquier proceso eleve sus permisos para evitar eludir nuestros mecanismos de seguridad.
3. Para llamadas de sistema específicas, Defender implementa una funcionalidad para supervisar selectivamente ciertas llamadas y aplicar nuestras políticas de tiempo de ejecución.
Fargate bloquea intencionalmente la ejecución de varios procesos privilegiados. Este es el comportamiento esperado para cumplir con nuestras restricciones de seguridad.
Resolution
Actualmente se está analizando si este comportamiento se puede modificar a través de una solicitud de función .