乐趣区

关于容器:Sysdig-2022云原生安全和使用报告发现超过75的运行容器存在严重漏洞

报告引自:Sysdig 2022 Cloud-Native Security and Usage Report

前不久,《Sysdig 2022 年云原生平安和应用报告》正式公布。该报告显示,随着云原生技术的一直成熟,越来越多的企业步入了云原生化的过程,然而因为很多曾经应用云原生技术的企业急于求成,云原生的平安和应用体验大打折扣,这也为后续运行埋下了不少的安全隐患。此外,因为业务的经营管制存在滞后性,不合理的布局可能会造成微小的容器容量资源节约。这也阐明了,云和容器的采纳曾经进入了一个全新的阶段,然而一些问题也因而显现出来,与缺乏经验的团队一起疾速口头很可能会减少危险和老本。

第五份年度报告揭示了各种规模和跨行业的寰球 Sysdig 客户如何应用和爱护云和容器环境。这种实在的实时数据提供了对每年运行的数十亿个容器的应用状况的洞察,包含应用趋势以及安全性、合规性、运行时和云实际。

报告要点:

  • 75% 的正运行容器中存在“高危”或“重大”破绽
    企业为了疾速倒退而承当了肯定的危险;然而,在生产中运行的 85% 的镜像至多蕴含一个可修补的破绽。此外,75% 的镜像含有重大水平为 “ 高危 “ 或 “ 重大 ” 的可修补破绽。这意味着相当大的危险接受程度,这对高敏捷性的经营模式来说并不常见,但可能十分危险。
  • 每 4 个账户中就有近 3 个蕴含裸露的 S3 存储桶
    73% 的云账户蕴含裸露的 S3 存储桶,36% 的现有 S3 存储桶对公众凋谢拜访。与关上的存储桶相干的危险量依据存储在那里的数据的敏感性而有所不同。然而,很少须要让存储桶放弃关上状态,这通常是云团队应该防止的捷径。
  • 27% 的用户领有不必要的 root 权限,大多数没有启用 MFA
    云平安最佳实际和 AWS 的 CIS 基准表明,企业应防止应用根用户进行治理和日常工作,但 27% 的企业依然这样做。48% 的企业没有在这个高度特权的账户上启用多重身份验证(MFA),这使得企业在账户凭据泄露或被盗时更容易被攻打。
  • 每个集群在云服务提供商账单上超支 40 万美元以上
    在疾速变动的 Kubernetes 环境中,容量治理和布局很艰难,并且容器能够应用多少资源的限度可能无奈定义。60% 的容器没有定义 CPU 限度,51% 没有定义内存限度。在那些有 CPU 限度的集群中,均匀有 34% 的 CPU 内核资源未应用。如果不理解集群的应用状况,企业可能会因为适度调配而造成资金节约,或者因为耗尽资源而导致性能问题。咱们来算一算,思考到 Amazon Web Services CPU 定价的均匀老本,一个领有 20 个 Kubernetes 集群的企业因为 CPU 资源未被充分利用,每年可能要多破费 40 万美元。

其余发现:

  • 在企业的云环境中,非自然人角色超过了自然人,只有 12% 的角色调配给自然人用户。非自然人角色能够由用户承当来执行特定的工作,也能够由应用程序、服务提供者或其余第三方工具应用。这里的最佳实际是遵循起码权限准则,明确地为每个角色调配起码的必要权限。但大失所望,因为更高的权限能够使操作更容易、更快,大多数用户和角色都被授予过多的权限,这就会给企业减少肯定的危险。
  • 容器密度在 2021 年再次增长,同比增长了近 15%,四年内增长了 360%。随着容器密度的减少,设置资源限度变得更加重要,然而因为 DevOps 团队急于扩大云环境,通常没有遵循最佳实际。
  • 以 root 身份运行的容器持续减少。48% 的图像在运行前被扫描,然而 76% 的容器以 root 身份运行,比去年减少了 31%。对最佳实际的迟缓采纳可能表明,尚未倒退其 DevSecOps 流程的企业宽泛采纳容器技术,而有特权的容器更容易被攻击者毁坏。

安全性高于一切:灵雀云 ACP 的云原生平安实际

在云原生安全策略方面,Sysdig 认为,云原生平安防护的外围在于规定。规定定义和保护,都须要平安人员基于本身安全策略的规定进行定义和保护,因为规定的定制化还可能存在规定被绕过的状况,只有融入到具体情况千差万别的生产环境中,平安经营团队继续地采纳多种检测伎俩穿插验证、造成闭环,能力真正无效发挥作用。

灵雀云在云原生平安实际时也秉持着同样的安全策略。为了更好地帮忙企业用户实现云原生转型的平稳过渡,实现数字化转型,灵雀云始终把产品和服务的安全性放在首位,通过以下几点构筑了弱小的云原生平安防线:

  • 欠缺的用户安全策略
    为确保用户登录平安,灵雀云 ACP 反对设置用户安全策略,包含明码平安、用户禁用、用户锁定、明码告诉、访问控制等策略。晋升平台用户的安全性,升高歹意攻打危险。
  • 无效的容器平安治理
    灵雀云 ACP 反对容器平安能力,零碎提供弱小的内置规定库,通过对容器的零碎调用行为进行监控,当容器产生存在安全隐患的行为时则触发告警,并可主动向平安负责人发送平安规定告警音讯,以便相干人员及时排除安全隐患、修复安全漏洞,确保零碎的容器运行时平安。
  • 服务化的 IT 平安治理
    反对中小型企业的多租户治理场景,实现细粒度权限管制和自助 IT 治理;对立治理和监控不同基础设施环境上的资源,通过平安审计机制,保障系统安全性。
  • 全生命周期的 DevSecOps
    在利用的整个生命周期内确保安全性;实现平安防护自动化,以爱护整体环境和数据;同时在构建 / 测试 / 部署过程中通过配置安全策略(比方镜像破绽扫描策略、代码平安扫描策略)来保障利用整体的安全性;通过主动执行对立的平安质量标准,从而确保组织交付更平安的软件;反对集成实用于容器的安全性扫描程序。

理解更多:

关注“灵雀云”微信公众号,具体理解灵雀云 ACP 如何帮助您实现云原生平安构建,与灵雀云工程师一起布局探讨,云原生平安最佳实际。
发送“云原生平安”至“灵雀云”微信公众号,下载残缺的《Sysdig 2022 年云原生平安和应用报告》。

退出移动版