Prisma Cloud Compute: 앱 내장형 디펜더가 AWS Fargate에서 특정 권한 있는 작업을 허용하지 않음
2722
Created On 09/10/24 19:14 PM - Last Modified 02/19/25 17:57 PM
Symptom
앱 내장형 디펜더가 배포된 경우 사용자 Fargate에서 UID를 변경하거나 chown을 실행하는 등의 권한이 있는 작업을 실행하려고 하면 "허용되지 않는 작업"이라는 메시지가 표시됩니다.
Environment
Prisma Cloud Compute Edition v33 이하
Prisma Cloud Enterprise Edition v33 이하
AWS Fargate의 앱 내장형 수비수
Cause
1. 방어자는 Fargate에서 프로세스가 사전정의 시스템 호출 집합만 실행하여 허가되지 않은 호출이나 위험한 호출을 차단할 수 있는 기능을 시행합니다. 이를 통해 공격 표면이 최소화되고 잠재적 위협이나 악용으로부터 보호됩니다.
2. 또한, "no_new_privs"는 모든 프로세스가 보안 메커니즘 우회하지 못하도록 권한을 상승시키는 것을 방지하기 위해 사용됩니다.
3. 특정 시스템 호출의 경우 Defender는 특정 호출을 선택적으로 모니터 하고 런타임 정책을 시행하는 기능을 구현합니다.
Fargate는 의도적으로 여러 특권 프로세스가 실행되는 것을 차단합니다. 이는 보안 제약을 준수하기 위해 예상되는 동작입니다.
Resolution
이런 동작을 변경할 수 있는지 여부는 현재 기능 요청 통해 분석 중입니다.