容器安全给热情高涨的 DevOps 浇了一桶冷水

栏目: 编程工具 · 发布时间: 5年前

【编者的话】本文通过 Tripwire 的数据调查,发现容器在使用过程中,很多公司缺乏对安全性的重视。通过具体的数据,希望开发者及企业能够重视容器安全问题,避免在 DevOps 的发展中,因容器安全而受阻。

许多企业致力于打造高速应用和流程化的开发,也就是我们所知的 DevOps ,因为他们希望更加动态地响应市场需求。这种拥抱正在推动容器部署成为资源灵活分配的必要工具。然而与以往一样,安全问题似乎被忽略了。

事实上,最近的一项调查显示,60% 的受访者表示,在过去的一年当中他们的公司至少发生过一起容器安全事故。在容器部署规模超过 100 个的公司中,容器事故的比例上升到了 75%。

上述数据来自 Tripwire 周一发布的 《容器安全状况报告》 ,该报告对来自规模在 100 名员工以上公司的 311 名 IT 安全专家进行了调查。报告还发现,94% 的受访者表达了对对容器安全问题的担忧,71% 的受访者预测在新的一年中容器安全事故会增加。

容器安全给热情高涨的 DevOps 浇了一桶冷水

报告称,“2019年,随着 DevOps 规模的不断扩大,各个公司将会面临日益增加的复杂性和风险。” “部分风险来自于他们的容器,因为许多公司对于这些软件仍然缺乏透明度。如果要充分降低风险并最大限度地减少遭受数字威胁的风险,他们需要加强容器的安全性。“

容器(比如 KubernetesMesosDocker Swarms 等)本质上是轻量级应用程序包,与云服务器上的其他容器共享单个操作系统内核。容器支持 DevOps,因为它们使用的资源远远少于虚拟机,因此响应速度更快。容器也可以按需实例化,因此它们可以在需要时可以迅速启动,并且在不需要时随时终止,这就进一步释放了主机资源并为企业带来了显著的灵活性。

然而,尽管好处多多,但这意味着从安全角度考虑,也有着更多的不确定性。

因此,在 Tripwire 的调查中只有 12% 的受访者表示他们可以在几分钟内检测到一个受损的容器。 45% 的受访者则表示需要数小时,而有些人可能需要更长时间。

容器安全给热情高涨的 DevOps 浇了一桶冷水

与此同时,近一半(47%)的 IT 安全专家表示在公司的生产环境中存在易受攻击的容器,而几乎相同数量(46%)的人表示不确定是否也存在这种情况。

Tripwire 产品管理和战略副总裁 Tim Erlin 说:“随着容器数量和使用率的增加,各公司感受到了加速部署的压力。” “为了跟上需求,团队没有加强容器的安全性,从而会承担风险。基于这项研究结果,我们可以看到大部分公司正在遭受容器安全事故。“

有趣的是,尽管 DevOps 总体上充满了热情,但 Tripwire 调查的受访者中有 42% 表示公司因为使用容器带来的的安全风险限制了容器的使用。几乎每个人(98%)都希望有额外的安全环境,82% 的人正在考虑因使用容器而重新制定安全责任。

容器安全给热情高涨的 DevOps 浇了一桶冷水

容器已经慢慢成为一个新的网络战场:6月份,研究人员在 Docker Hub 上发现了十几个恶意 的 Docker 镜像,这些镜像允许黑客获得 9 万美元的加密利润。据透露,之后又发现互联网上有超过 22,000个 容器编排和 API 管理系统未受保护或着可以公开使用。

容器安全给热情高涨的 DevOps 浇了一桶冷水

根据 Lacework 的 研究 ,容器在使用中往往会遇到资源配置不当,证书缺失以及使用非安全协议等问题。 因此,攻击者可以远程访问基础架构,并可以安装,删除或加密公司在云服务中运行的任何应用程序。

原文链接: ThreatList: Container Security Lags Amidst DevOps Enthusiasm (翻译: 李加庆


以上所述就是小编给大家介绍的《容器安全给热情高涨的 DevOps 浇了一桶冷水》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

GOOGLE HACKS

GOOGLE HACKS

Rael Dornfest、Tara Calishain / 卞军、谢伟华、朱炜 / 电子工业 / 2006-1 / 49.00元

GOOGLE HACKS巧妙使用网络搜索的技巧和工具(第二版)一起来看看 《GOOGLE HACKS》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

SHA 加密
SHA 加密

SHA 加密工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具