报告引自:Sysdig 2023 Cloud-Native Security and Usage Report
近日,云和容器平安畛域公司 Sysdig,公布了2023 年云原生平安和应用报告。往年报告聚焦于两个主题,揭示了供应链危险和零信赖架构筹备度是云和容器环境中最大的未解决平安问题。该报告还揭示了因为适度调配容量而导致的数千万美元的云收入节约。
通过理论数据,第六期年度报告揭示了寰球各行各业不同规模的公司如何应用和爱护云和容器环境。数据集涵盖了 Sysdig 客户在过来一年中操作的数十亿个容器、数千个云账户和数十万个应用程序。
报告要点
· 87% 的容器镜像存在高危或要害破绽:因为古代设计的个性以及开源镜像的共享,平安团队面临着大量容器破绽。理论状况是,团队无奈修复所有破绽,并且他们难以找到正确的参数来优先解决破绽并缩减其工作负载。
· 然而,报告还发现只有 15% 的可用修复程序中有重大或高危破绽,这些修复程序是在运行时加载的。通过筛选理论应用的容易受攻打的软件包,组织团队能够将重点放在可修复破绽的较小局部上,这些破绽代表真正的危险。将破绽数量缩小 85% 至 15% 为网络安全团队提供了更具可操作性的数字。
· 90% 的受权权限未被应用:零信赖架构准则强调组织应防止授予过于宽泛的拜访权限。报告数据显示,90% 的权限未被应用。如果攻击者夺取了领有特权拜访或适度权限的身份的凭据,则在云环境中他们将领有“地狱之钥”。
· 59% 的容器没有定义 CPU 限度,69% 的申请 CPU 资源未被应用:在 Kubernetes 环境中没有利用信息,开发人员无奈确定他们的云资源在何处适度或调配有余。所有规模的组织都可能超支 40%,对于大规模部署,优化环境能够均匀节俭 1000 万美元的云生产账单。
· 72% 的容器存活工夫不到五分钟:容器隐没后收集故障排除信息简直是不可能的,而容器的寿命在往年缩小了 28%。这种缩小反映了组织在容器编排应用方面的成熟度,强调了须要与云的短暂性相适应的安全性。
“回顾去年的报告,容器的采纳持续成熟,这从容器生命周期的缩短中能够看出。然而,配置谬误和破绽依然困扰着云环境,而供应链正在放大平安问题的体现。用户和服务的权限治理是另一个我心愿看到人们更加严格的畛域,”Sysdig 的网络安全策略总监 Michael Isbitski 说道,“往年的报告显示了微小的增长,并概述了最佳实际,我心愿团队们在 2024 年的报告中驳回这些实际,例如查看理论危险曝光状况,以理解真正的危险,并优先解决对业务产生真正影响的破绽。”
论断
咱们的钻研表明,只管人们意识到所需的工具和零信赖办法的益处,但云平安流程依然落后于云采纳的疾速步调。从咱们钻研的实在客户数据中,有几个平安实际畛域须要改良以升高危险:
· 身份和拜访治理:授予权限与所需权限之间的微小差别突显了定期测量和管理权限以缩小攻打机会的紧迫性。
· 破绽治理:因为大多数容器镜像在生产中运行具备危险的破绽,团队必须通过基于理论运行时危险的破绽优先级来解决镜像臃肿问题并集中其修复工作。
· 检测和响应:特权降级和进攻躲避攻打是咱们客户威逼清单的首要问题。为了赶上一直变动的威逼环境,威逼检测规定应定期更新以发现歹意流动。
除了平安之外,往年的数据表明,组织通过解决未应用的 Kubernetes 资源能够升高云老本。投入工夫进行容量布局能够取得弱小的回报。通过施行适当的容器资源限度和继续监控,组织将可能在不影响应用程序性能的状况下优化老本。
咱们第六期年度报告的次要趋势突显了容器环境持续增长,和越来越依赖开源解决方案,咱们须要稳固运行和爱护它们的平安。针对云和容器设计的自动化和可扩大工具的市场在不断扩大,这能够帮忙团队更无效地发现威逼和危险,防止脱漏,聚焦于具备最大影响力的口头,避免浪费工夫。
平安左移:灵雀云 ACP 的云原生平安实际
在云原生安全策略方面,Sysdig 认为,云原生平安防护的外围在于规定。规定定义和保护,都须要平安人员基于本身安全策略的规定进行定义和保护,因为规定的定制化还可能存在规定被绕过的状况,只有融入到具体情况千差万别的生产环境中,平安经营团队继续地采纳多种检测伎俩穿插验证、造成闭环,能力真正无效发挥作用。灵雀云在云原生平安实际时也秉持着同样的安全策略。
为了更好地帮忙企业用户实现云原生转型的平稳过渡,实现数字化转型,灵雀云始终把产品和服务的安全性放在首位,遵循平安“左移”设计准则,通过以下几点构筑了弱小的云原生平安防线:
· 欠缺的用户安全策略
为确保用户登录平安,灵雀云 ACP 反对设置用户安全策略,包含明码平安、用户禁用、用户锁定、明码告诉、访问控制等策略。晋升平台用户的安全性,升高歹意攻打危险。
· 服务化的 IT 平安治理
反对中小型企业的多租户治理场景,实现细粒度权限管制和自助 IT 治理;对立治理和监控不同基础设施环境上的资源,通过平安审计机制,保障系统安全性。
· 全生命周期的 DevSecOps
在利用的整个生命周期内确保安全性;实现平安防护自动化,以爱护整体环境和数据;同时在构建 / 测试 / 部署过程中通过配置安全策略(比方镜像破绽扫描策略、代码平安扫描策略)来保障利用整体的安全性;通过主动执行对立的平安质量标准,从而确保组织交付更平安的软件;反对集成实用于容器的安全性扫描程序。
在实际方面,以某全国性大型银行为例,该银行全栈云容器平台作为驱动金融数字基础设施建设的重要引擎,通过建设上述平安“左移”的云原生平安防护模型,践行安全可靠的 DevSecOps 理念,实现了企业级的全生命周期自适应平安、IT 零碎智能化检测、牢靠的容器平安治理、麻利化 DevSecOps 流程、零信赖平安危险评估,大大晋升了其业务零碎的平安危险免疫能力。
分割咱们,具体理解灵雀云 ACP 如何帮忙您的企业晋升应答 IT 危险的免疫力,与灵雀云工程师一起布局探讨,云原生平安最佳实际。
理解更多