压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

隨著越來(lái)越多的組織向微服務(wù)/DevOps轉(zhuǎn)型，容器生態(tài)系統(tǒng)每年都會(huì)發(fā)生很大的變化。近期，Sysdig發(fā)布了《2019年度容器使用報(bào)告》，報(bào)告中大篇幅的介紹了2019年容器生態(tài)下的安全現(xiàn)狀問(wèn)題。

報(bào)告基于2,000,000個(gè)運(yùn)行于生產(chǎn)環(huán)境中的容器收集的真實(shí)數(shù)據(jù)，從多個(gè)角度，分析了這一年來(lái)，容器生態(tài)系統(tǒng)所發(fā)生的變化，樣本數(shù)量幾乎是去年（90,000）的22倍多。

相比較2018年的報(bào)告，今年的這個(gè)報(bào)告有以下幾個(gè)特點(diǎn)：

（1）從題目上看，2018年之前的報(bào)告都是Docker年度使用報(bào)告，今年將Docker改為了Container，這也體現(xiàn)了在生態(tài)系統(tǒng)中容器運(yùn)行時(shí)的廣度有所擴(kuò)大；

（2）樣本數(shù)較去年增加了22倍多，所有的統(tǒng)計(jì)數(shù)據(jù)來(lái)源于線上客戶真實(shí)的業(yè)務(wù)數(shù)據(jù)，這樣的數(shù)據(jù)增長(zhǎng)，說(shuō)明在容器環(huán)境中的安全需求與安全建設(shè)發(fā)生了飛速的發(fā)展；

（3）報(bào)告中首次增加容器環(huán)境安全相關(guān)的現(xiàn)狀數(shù)據(jù)。

下面本文將著重解讀2019年容器環(huán)境的安全現(xiàn)狀。

1.Docker+K8S?仍然是主流技術(shù)路線選擇

rkt、lxc、mesos等容器運(yùn)行時(shí)已經(jīng)幾乎很少見(jiàn)，docker和containerd基本成為容器運(yùn)行時(shí)的主流實(shí)現(xiàn)。

在編排工具上，毫無(wú)懸念的Kubernetes占據(jù)了榜首，加上OpenShift以及Rancher，其占有比例達(dá)到了89%，Swarm從2018年的11%降到了5%。

2.?鏡像安全問(wèn)題仍然突出

在用戶的生產(chǎn)環(huán)境中，有40%的鏡像來(lái)源于公開(kāi)的鏡像倉(cāng)庫(kù)。

鏡像的漏洞問(wèn)題依然十分突出，連續(xù)5天對(duì)應(yīng)用到生產(chǎn)環(huán)境中的鏡像進(jìn)行漏洞掃描，通過(guò)率僅為48%。

3.?安全配置規(guī)范應(yīng)用情況不理想

CIS等安全配置規(guī)范，在生產(chǎn)環(huán)境中落實(shí)情況并不是很理想，主要體現(xiàn)在禁用了seccomp、沒(méi)有設(shè)置SELinux、AppArmor、以root/特權(quán)模式運(yùn)行等問(wèn)題。

4.?運(yùn)行時(shí)安全

通過(guò)Falco的監(jiān)控，運(yùn)行時(shí)安全威脅Top10主要體現(xiàn)在了寫(xiě)/etc目錄、寫(xiě)/root目錄、創(chuàng)建特權(quán)容器、更改線程命名空間、創(chuàng)建掛載敏感目錄的容器、獲取sudo權(quán)限、嘗試在二進(jìn)制目錄下寫(xiě)文件、異常運(yùn)行shell、系統(tǒng)程序處理網(wǎng)絡(luò)行為、shell登入容器。

Kubernetes的node ready、CPU利用率、Memory利用率等成為主要的運(yùn)維告警項(xiàng)。

總體來(lái)說(shuō)，報(bào)告從多個(gè)角度展示了容器生態(tài)，尤其是容器環(huán)境的安全現(xiàn)狀。對(duì)比前兩年的報(bào)告，一方面可以看出，容器在計(jì)算環(huán)境中扮演了越來(lái)越重要的角色，另一方面，容器生態(tài)的安全問(wèn)題，也是越來(lái)越多的引起容器使用者的關(guān)注。

轉(zhuǎn)載自安全加：http://toutiao.secjia.com/article/page?topid=112112