調查:60% 的組織機構在2018年都經歷過容器安全事故
責編:gltian |2019-01-16 15:09:37進入2019年,很多組織機構都在考慮DevOps。這是一場全球性的運動。事實上,Puppet和Splunk在其2018年度DevOps報告中,收到了除南極洲以外來自各大洲組織機構的響應。這些組織在所屬行業,規模和DevOps的成熟度級別上各不相同,但是他們都有興趣學習如何進一步推動其DevOps發展。
這些企業將會面臨不少挑戰。隨著各個組織機構在2019年進一步發展DevOps,他們也將面臨日益增加的復雜因素和風險。部分風險將來自于他們的容器,因為很多組織機構仍然缺乏對這些軟件的洞悉能力。如果他們想要充分降低風險,并最大程度的減少暴露于數字威脅的可能性,就需要保證他們容器的安全。但是他們已經做好準備了嗎?
答案就在Tripwire的容器安全狀態報告中(Tripwire’s State of Container Security Report)。在這項研究中,Tripwire對311位IT安全專業人員進行了調查,這些專業人員都在員工超過100名的公司中管理容器環境。
他們的回答表明,組織機構已經在保護其容器部署中獲得了教訓:60%的組織,在過去一年中, 至少遭遇過一起容器安全事故。
在Tripwire進行研究的期間,86%的受訪企業正在創建容器,而生產中的容器越多,他們遇到容器安全問題的可能性就越大。在那些生產了100多個容器的組織機構中,有75%已經遭遇過一起安全事故。所以當有94%的受訪者都表達了他們對容器安全的擔憂也不足為奇了。71%的受訪者甚至預測,新的一年里容器安全事故將會增加。
2019年Tripwire容器安全狀態報告要點:
- 94%的IT 安全專業人員表示對容器安全擔憂
- 主要擔憂:54% 的受訪者認為團隊對容器安全的知識儲備不足;52%的受訪者認為對容器和映像安全狀態的可見程度有限;43%的受訪者認為在部署前不能夠對容器鏡像進行安全評估;
- 在過去一年中,有60%的組織機構都經歷過容器安全事件;
- 有47%的已部署容器被發現有漏洞,而46%的已部署容器漏洞不明;
- 71%的受訪者預測,在2019年容器安全事件的發生概率將會增加。
他們的預測部分反映了現在企業中,在容器安全策略方面存在的問題。例如在Tripwire的調查中,只有12%的受訪者表示他們能夠在幾分鐘之內檢測到一個受損的容器。而45%的受訪者則表示需要幾個小時,而其他人估計需要更長的時間。同時有接近一半的IT安全專業人員(47%)表示,他們所屬的組織機構正在創建易受攻擊的容器。同樣有接近一半的專家(46%)表示不確定他們是否處于同樣的情況。
Tripwire公司負責產品管理和戰略的副總裁Tim Erlin解釋道:
隨著容器數量的增加和使用越來越廣泛,組織機構感受到了加快部署的壓力。為了滿足這一需求,團隊 只得暫時接受不對容器進行保護帶來的風險。根據這份研究,我們發現這樣做的結果是大部分組織機構都經歷了容器安全問題。
為了應對這些安全問題,有些組織機構在限制其DevOps部署。在Tripwire的調查中,有42%的受訪者回答,由于隨之而來的安全風險,其所屬組織正在限制容器的使用。幾乎每個人都表示他們想要額外的安全環境(98%)。而82%的受訪者由于使用容器而正在考慮安全責任重組。
當公司正在等待這些功能時,Erlin表示到,企業可以也應該努力將安全性納入DevOps生命周期中。他們可以通過進行安全控制,包括漏洞管理和多容器監控/審查(包括構建環境,容器安全性測試,驗證過程以及運行容器)來實現這一目標。
2018年度DevOps報告地址:
https://puppet.com/resources/whitepaper/state-of-devops-report