调查:错误配置是容器面临的最高安全性问题

栏目: 编程工具 · 发布时间: 6年前

内容简介:尽管DevOps中容器的采用率正在不断增长,但对其安全性的担忧依然十分强烈。根据一项最新调查结果显示,35%的受访者认为,他们的公司并没有对容器安全进行充分投资;而另有15%的受访者认为,他们的公司并没有认真对待容器威胁。根据受访者调查,Docker是最受欢迎的容器运行时(container runtime)——即能够基于在线获取的镜像来创建和运行容器的程序,有189位受访者使用;而Kubernetes——最初由Google开发——则是最受欢迎的容器协调器,有122位受访者使用;Docker Swarm是

尽管DevOps中容器的采用率正在不断增长,但对其安全性的担忧依然十分强烈。根据一项最新调查结果显示,35%的受访者认为,他们的公司并没有对容器安全进行充分投资;而另有15%的受访者认为,他们的公司并没有认真对待容器威胁。

调查:错误配置是容器面临的最高安全性问题 该数据结果来自StackRox公司针对230名IT员工进行的一项调查——其中近一半的人将IT安全视为自身的主要角色。在这些受访者中,超过45%的人受雇于拥有10,000多名员工的大型企业,而58%的人受雇于金融科技或技术领域。在这份名为《容器安全状态》的报告中,StackRox发现,尽管容器和Kubernetes(一个自动化部署、伸缩和操作应用程序容器的开源平台)的采用率不断激增,但大多数组织并没有做好充分保护云原生应用程序的准备。

根据受访者调查,Docker是最受欢迎的容器运行时(container runtime)——即能够基于在线获取的镜像来创建和运行容器的程序,有189位受访者使用;而Kubernetes——最初由Google开发——则是最受欢迎的容器协调器,有122位受访者使用;Docker Swarm是第二大受欢迎的协调器,有93位受访者(主要来自拥有5,000名或更多员工的大型组织)使用。

调查结果还显示,40%的受访者会在混合环境(内部和云端)中操作他们的容器;28%的受访者只是在云端操作他们的容器;而只在内部操作容器的比例则达到了惊人的32%。就那些在云中的容器而言,118个使用了AWS,56个使用了Azure,还有39个使用了Google Cloud Platform。考虑到谷歌在容器使用和Kubernetes方面的行业领导地位,这个排名确实有些出乎意料。但是,鉴于我们的调查对象主要为大型企业,这一结果也就变得不足为奇了。

此外,高达54%的受访者表示,容器协调器中的“配置错误”是最大的安全问题。这些问题涉及 Docker 容器和Kubernetes协调器。其中最著名的“容器攻击”事件包括发生在AWS上的Tesla加密挖掘攻击事件,以及Shopify发布了有关元数据的漏洞,这两起事件都是源于对容器协调器的错误配置。

2018年2月,RedLock在其一项调查中发现,黑客入侵了Tesla的Kubernetes控制台,该控制台没有密码保护。在一个Kubernetes Pod中,访问凭证暴露在Tesla的AWS环境中,该环境包含一个亚马逊S3存储桶,该存储桶有一些敏感数据,比如遥测技术。之后,黑客成功劫持了Kubernetes容器并将其用于加密挖掘活动。当然, 这里并不是说Kubernetes本身是不安全的,只是访问容器所需的复杂性和颗粒度仍需改进——这也正是导致受访者担心“错误配置”的原因所在

安全专家解释称,Kubernetes所面临的安全挑战并不是直接访问平台进行登录并发动攻击。更确切地说,Kubernetes会经常不经意地出现配置错误情况,暴露出很多关键部分——例如,仪表板,或是可直接访问元数据等等,恶意行为者通过这些错误配置便能够发动攻击活动。

而现如今,容器受DevOps支持的趋势更是进一步加剧了这种情况,而且对DevOps而言,并不强求有安全团队的参与,这也导致容器安全情况进一步恶化。

如今,使用容器和配置Kubernetes最频繁的就是DevOps。对于安全团队而言,真正的挑战就是参与进制定保护该基础架构的政策和指南中来。任何容器安全解决方案的目标都应该是帮助实现“将安全性注入DevOps世界”——以便在利用DevOps便捷性的同时,实现更强大的安全性。

安全专家建议称,像许多强大的平台一样,Kubernetes最好也配置一个抽象层。这个安全抽象层能够凸显出错误配置并查明风险,例如会使资产面临风险的非必要开放式通信路径。

在每一次基础设施变更浪潮中,人为失误都是造成大部分安全风险的根源所在,而这种情况对于容器和Kubernetes而言也是一样。至关重要的是,针对这种基础架构的安全 工具 能够自动标注整个生态系统中最常见的错误配置。

以StackRox为例,它就能够通过简单地识别所部署容器的广度来有效地实现资产管理,并保护容器和Kubernetes环境安全。StackRox容器安全平台有助于保护映像本身,并评估构建过程中的风险,加固环境并减少部署阶段的攻击面,以及在容器“运行时”阶段查找和阻止恶意活动。StackRox平台与Kubernetes和容器生态系统之间的紧密集成,使安全性在整个生命周期内能够得以实现。

此类安全工具最好由安全团队进行管理。对容器安全性的关注,应该成为推动企业DevOps向企业Security DevOps转型的关键力量。

DevOps的影响以及容器化和Kubernetes的快速发展,已经使得应用程序开发变得比以往更加无缝、高效和强大。然而,调查结果却显示,安全性仍然是企业容器战略中的一项重大挑战。容器为DevOps和安全团队之间的协作提供了自然的桥梁,但它们也带来了独特的风险,如果不加以控制,可能会为企业带来真正的风险。

《容器安全状态》报告原文:

https://security.stackrox.com/rs/219-UEH-533/images/StackRox-Report-State_of_Container_Security.pdf

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上所述就是小编给大家介绍的《调查:错误配置是容器面临的最高安全性问题》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

C语言接口与实现

C语言接口与实现

David R. Hanson / 郭旭 / 人民邮电出版社 / 2011-9 / 75.00元

《C语言接口与实现:创建可重用软件的技术》概念清晰、实例详尽,是一本有关设计、实现和有效使用C语言库函数,掌握创建可重用C语言软件模块技术的参考指南。书中提供了大量实例,重在阐述如何用一种与语言无关的方法将接口设计实现独立出来,从而用一种基于接口的设计途径创建可重用的API。 《C语言接口与实现:创建可重用软件的技术》是所有C语言程序员不可多得的好书,也是所有希望掌握可重用软件模块技术的人员......一起来看看 《C语言接口与实现》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具