压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

盡管DevOps中容器的采用率正在不斷增長(zhǎng)，但對(duì)其安全性的擔(dān)憂依然十分強(qiáng)烈。根據(jù)一項(xiàng)最新調(diào)查結(jié)果顯示，35%的受訪者認(rèn)為，他們的公司并沒有對(duì)容器安全進(jìn)行充分投資；而另有15%的受訪者認(rèn)為，他們的公司并沒有認(rèn)真對(duì)待容器威脅。

該數(shù)據(jù)結(jié)果來(lái)自StackRox公司針對(duì)230名IT員工進(jìn)行的一項(xiàng)調(diào)查——其中近一半的人將IT安全視為自身的主要角色。在這些受訪者中，超過(guò)45%的人受雇于擁有10,000多名員工的大型企業(yè)，而58%的人受雇于金融科技或技術(shù)領(lǐng)域。在這份名為《容器安全狀態(tài)》的報(bào)告中，StackRox發(fā)現(xiàn)，盡管容器和Kubernetes（一個(gè)自動(dòng)化部署、伸縮和操作應(yīng)用程序容器的開源平臺(tái)）的采用率不斷激增，但大多數(shù)組織并沒有做好充分保護(hù)云原生應(yīng)用程序的準(zhǔn)備。

根據(jù)受訪者調(diào)查，Docker是最受歡迎的容器運(yùn)行時(shí)（container runtime）——即能夠基于在線獲取的鏡像來(lái)創(chuàng)建和運(yùn)行容器的程序，有189位受訪者使用；而Kubernetes——最初由Google開發(fā)——?jiǎng)t是最受歡迎的容器協(xié)調(diào)器，有122位受訪者使用；Docker Swarm是第二大受歡迎的協(xié)調(diào)器，有93位受訪者（主要來(lái)自擁有5,000名或更多員工的大型組織）使用。

調(diào)查結(jié)果還顯示，40%的受訪者會(huì)在混合環(huán)境（內(nèi)部和云端）中操作他們的容器；28%的受訪者只是在云端操作他們的容器；而只在內(nèi)部操作容器的比例則達(dá)到了驚人的32%。就那些在云中的容器而言，118個(gè)使用了AWS，56個(gè)使用了Azure，還有39個(gè)使用了Google Cloud Platform?？紤]到谷歌在容器使用和Kubernetes方面的行業(yè)領(lǐng)導(dǎo)地位，這個(gè)排名確實(shí)有些出乎意料。但是，鑒于我們的調(diào)查對(duì)象主要為大型企業(yè)，這一結(jié)果也就變得不足為奇了。

此外，高達(dá)54%的受訪者表示，容器協(xié)調(diào)器中的“配置錯(cuò)誤”是最大的安全問(wèn)題。這些問(wèn)題涉及Docker容器和Kubernetes協(xié)調(diào)器。其中最著名的“容器攻擊”事件包括發(fā)生在AWS上的Tesla加密挖掘攻擊事件，以及Shopify發(fā)布了有關(guān)元數(shù)據(jù)的漏洞，這兩起事件都是源于對(duì)容器協(xié)調(diào)器的錯(cuò)誤配置。

2018年2月，RedLock在其一項(xiàng)調(diào)查中發(fā)現(xiàn)，黑客入侵了Tesla的Kubernetes控制臺(tái)，該控制臺(tái)沒有密碼保護(hù)。在一個(gè)Kubernetes Pod中，訪問(wèn)憑證暴露在Tesla的AWS環(huán)境中，該環(huán)境包含一個(gè)亞馬遜S3存儲(chǔ)桶，該存儲(chǔ)桶有一些敏感數(shù)據(jù)，比如遙測(cè)技術(shù)。之后，黑客成功劫持了Kubernetes容器并將其用于加密挖掘活動(dòng)。當(dāng)然，這里并不是說(shuō)Kubernetes本身是不安全的，只是訪問(wèn)容器所需的復(fù)雜性和顆粒度仍需改進(jìn)——這也正是導(dǎo)致受訪者擔(dān)心“錯(cuò)誤配置”的原因所在。

安全專家解釋稱，Kubernetes所面臨的安全挑戰(zhàn)并不是直接訪問(wèn)平臺(tái)進(jìn)行登錄并發(fā)動(dòng)攻擊。更確切地說(shuō)，Kubernetes會(huì)經(jīng)常不經(jīng)意地出現(xiàn)配置錯(cuò)誤情況，暴露出很多關(guān)鍵部分——例如，儀表板，或是可直接訪問(wèn)元數(shù)據(jù)等等，惡意行為者通過(guò)這些錯(cuò)誤配置便能夠發(fā)動(dòng)攻擊活動(dòng)。

而現(xiàn)如今，容器受DevOps支持的趨勢(shì)更是進(jìn)一步加劇了這種情況，而且對(duì)DevOps而言，并不強(qiáng)求有安全團(tuán)隊(duì)的參與，這也導(dǎo)致容器安全情況進(jìn)一步惡化。

如今，使用容器和配置Kubernetes最頻繁的就是DevOps。對(duì)于安全團(tuán)隊(duì)而言，真正的挑戰(zhàn)就是參與進(jìn)制定保護(hù)該基礎(chǔ)架構(gòu)的政策和指南中來(lái)。任何容器安全解決方案的目標(biāo)都應(yīng)該是幫助實(shí)現(xiàn)“將安全性注入DevOps世界”——以便在利用DevOps便捷性的同時(shí)，實(shí)現(xiàn)更強(qiáng)大的安全性。

安全專家建議稱，像許多強(qiáng)大的平臺(tái)一樣，Kubernetes最好也配置一個(gè)抽象層。這個(gè)安全抽象層能夠凸顯出錯(cuò)誤配置并查明風(fēng)險(xiǎn)，例如會(huì)使資產(chǎn)面臨風(fēng)險(xiǎn)的非必要開放式通信路徑。

在每一次基礎(chǔ)設(shè)施變更浪潮中，人為失誤都是造成大部分安全風(fēng)險(xiǎn)的根源所在，而這種情況對(duì)于容器和Kubernetes而言也是一樣。至關(guān)重要的是，針對(duì)這種基礎(chǔ)架構(gòu)的安全工具能夠自動(dòng)標(biāo)注整個(gè)生態(tài)系統(tǒng)中最常見的錯(cuò)誤配置。

以StackRox為例，它就能夠通過(guò)簡(jiǎn)單地識(shí)別所部署容器的廣度來(lái)有效地實(shí)現(xiàn)資產(chǎn)管理，并保護(hù)容器和Kubernetes環(huán)境安全。StackRox容器安全平臺(tái)有助于保護(hù)映像本身，并評(píng)估構(gòu)建過(guò)程中的風(fēng)險(xiǎn)，加固環(huán)境并減少部署階段的攻擊面，以及在容器“運(yùn)行時(shí)”階段查找和阻止惡意活動(dòng)。StackRox平臺(tái)與Kubernetes和容器生態(tài)系統(tǒng)之間的緊密集成，使安全性在整個(gè)生命周期內(nèi)能夠得以實(shí)現(xiàn)。

此類安全工具最好由安全團(tuán)隊(duì)進(jìn)行管理。對(duì)容器安全性的關(guān)注，應(yīng)該成為推動(dòng)企業(yè)DevOps向企業(yè)Security DevOps轉(zhuǎn)型的關(guān)鍵力量。

DevOps的影響以及容器化和Kubernetes的快速發(fā)展，已經(jīng)使得應(yīng)用程序開發(fā)變得比以往更加無(wú)縫、高效和強(qiáng)大。然而，調(diào)查結(jié)果卻顯示，安全性仍然是企業(yè)容器戰(zhàn)略中的一項(xiàng)重大挑戰(zhàn)。容器為DevOps和安全團(tuán)隊(duì)之間的協(xié)作提供了自然的橋梁，但它們也帶來(lái)了獨(dú)特的風(fēng)險(xiǎn)，如果不加以控制，可能會(huì)為企業(yè)帶來(lái)真正的風(fēng)險(xiǎn)。

《容器安全狀態(tài)》報(bào)告原文：

https://security.stackrox.com/rs/219-UEH-533/images/StackRox-Report-State_of_Container_Security.pdf