紅帽發(fā)布了一份最新的 “2022 年 Kubernetes 安全狀況” 報(bào)告，調(diào)查了組織在云原生開(kāi)發(fā)方面面臨的安全挑戰(zhàn)，以及他們?nèi)绾螒?yīng)對(duì)這些挑戰(zhàn)以保護(hù)其應(yīng)用程序和 IT 環(huán)境。該報(bào)告基于對(duì) 300 多名 DevOps、工程和安全專(zhuān)業(yè)人員的調(diào)查，重點(diǎn)介紹了公司如何在采用容器和 Kubernetes 的同時(shí)平衡這些環(huán)境的安全性。

報(bào)告指出，與前幾年類(lèi)似，安全仍然是容器采用的最大問(wèn)題之一。新技術(shù)與傳統(tǒng) IT 環(huán)境集成時(shí)可能會(huì)帶來(lái)無(wú)法預(yù)料的安全挑戰(zhàn)，而鑒于容器的安全需求橫跨應(yīng)用程序生命周期的所有方面，從開(kāi)發(fā)到部署和維護(hù)，容器呈現(xiàn)出特別復(fù)雜的情況。該報(bào)告發(fā)現(xiàn)，31% 的受訪(fǎng)者對(duì)容器策略最常見(jiàn)的擔(dān)憂(yōu)是對(duì)容器的安全威脅和容器安全投資不足。

有 93% 的受訪(fǎng)者在過(guò)去 12 個(gè)月中在其 Kubernetes 環(huán)境中至少經(jīng)歷過(guò)一次安全事件，該事件有時(shí)也導(dǎo)致了受訪(fǎng)者收入或客戶(hù)的流失。過(guò)去一年，超過(guò)一半的受訪(fǎng)者(55%)還因?yàn)榘踩珕?wèn)題不得不推遲他們應(yīng)用程序的推出。對(duì)此，報(bào)告將責(zé)任歸咎于 Kubernetes 主要是專(zhuān)注于生產(chǎn)力而不是安全性。“Kubernetes 和容器雖然功能強(qiáng)大，但卻是為開(kāi)發(fā)者的生產(chǎn)力而設(shè)計(jì)的，不一定是為了安全。例如，默認(rèn)的 pod-to-pod 網(wǎng)絡(luò)設(shè)置允許開(kāi)放通信，以快速啟動(dòng)和運(yùn)行一個(gè)集群，但卻犧牲了安全加固。”

報(bào)告稱(chēng)，人為錯(cuò)誤仍然是導(dǎo)致數(shù)據(jù)泄露的原因之一;其引用了世界經(jīng)濟(jì)論壇的一份研究報(bào)告進(jìn)行佐證，“人為錯(cuò)誤是 95% 的數(shù)據(jù)泄露事件的主要促成因素”。數(shù)據(jù)表明，在過(guò)去的 12 個(gè)月里，近 53% 的受訪(fǎng)者在他們的環(huán)境中經(jīng)歷了錯(cuò)誤配置事件。38% 的人發(fā)現(xiàn)了一個(gè)重大的漏洞，30% 的人說(shuō)他們?cè)庥隽诉\(yùn)行時(shí)安全事件;還有 22% 的人說(shuō)他們沒(méi)有通過(guò)審計(jì)。

相較于媒體廣泛關(guān)注的網(wǎng)絡(luò)攻擊，IT 人員最為擔(dān)心的也還是錯(cuò)誤配置所造成的風(fēng)險(xiǎn)。“Kubernetes 是高度可定制的，具有可以影響應(yīng)用程序安全狀態(tài)的各種配置選項(xiàng)。因此，受訪(fǎng)者最擔(dān)心由于容器和 Kubernetes 環(huán)境中的錯(cuò)誤配置而導(dǎo)致的風(fēng)險(xiǎn)(46%)—— 幾乎是對(duì)攻擊的擔(dān)憂(yōu)程度(16%)的三倍”。盡可能的自動(dòng)化配置管理則有助于緩解這些問(wèn)題。

另一方面，DevSecOps 已逐漸成為一些組織的標(biāo)準(zhǔn)。絕大多數(shù)受訪(fǎng)者(78%)表示，他們?cè)诔跫?jí)或高級(jí)階段都有 DevSecOps 計(jì)劃。在 DevSecOps 方面，27% 的受訪(fǎng)者認(rèn)為自己所在的是最具前瞻性的組織，他們采用先進(jìn)的 DevSecOps 計(jì)劃，在整個(gè)應(yīng)用程序生命周期中集成和自動(dòng)化安全性。

開(kāi)發(fā)、運(yùn)維和安全團(tuán)隊(duì)之間的協(xié)作也被重視起來(lái)。報(bào)告指出，受當(dāng)今快速的發(fā)布周期影響，安全性已經(jīng)必須左移并嵌入到 DevOps 工作流中，而不是在應(yīng)用程序即將部署到生產(chǎn)中時(shí)才考慮;大部分受訪(fǎng)者都對(duì)這一觀(guān)點(diǎn)表示了認(rèn)同。除了很多人正在實(shí)施 DevSecOps 之外，只有 22% 的受訪(fǎng)者表示他們繼續(xù)將 DevOps 與安全分開(kāi)操作;且只有 16% 的受訪(fǎng)者確定他們將由中央 IT 安全團(tuán)隊(duì)負(fù)責(zé) Kubernetes 的安全。

紅帽方面總結(jié)稱(chēng)，盡管存在潛在的安全問(wèn)題，但采用容器和 Kubernetes 的好處仍然大于弊端。關(guān)鍵是尋找一個(gè)容器和 Kubernetes 安全平臺(tái)，將 DevOps 最佳實(shí)踐和內(nèi)部控制作為其配置檢查的一部分。它還應(yīng)該評(píng)估 Kubernetes 本身的配置的安全狀況，以便開(kāi)發(fā)人員可以專(zhuān)注于功能交付。

??完整報(bào)告地址??

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：紅帽 Kubernetes 報(bào)告：安全成最大挑戰(zhàn)，問(wèn)題癥結(jié)在于人

本文地址：https://www.oschina.net/news/196582/state-kubernetes-security-2022