2019年度容器安全現狀分析
責編:gltian |2019-11-25 13:52:50隨著越來越多的組織向微服務/DevOps轉型,容器生態系統每年都會發生很大的變化。近期,Sysdig發布了《2019年度容器使用報告》,報告中大篇幅的介紹了2019年容器生態下的安全現狀問題。
報告基于2,000,000個運行于生產環境中的容器收集的真實數據,從多個角度,分析了這一年來,容器生態系統所發生的變化,樣本數量幾乎是去年(90,000)的22倍多。
相比較2018年的報告,今年的這個報告有以下幾個特點:
(1)從題目上看,2018年之前的報告都是Docker年度使用報告,今年將Docker改為了Container,這也體現了在生態系統中容器運行時的廣度有所擴大;
(2)樣本數較去年增加了22倍多,所有的統計數據來源于線上客戶真實的業務數據,這樣的數據增長,說明在容器環境中的安全需求與安全建設發生了飛速的發展;
(3)報告中首次增加容器環境安全相關的現狀數據。
下面本文將著重解讀2019年容器環境的安全現狀。
1.Docker+K8S?仍然是主流技術路線選擇
rkt、lxc、mesos等容器運行時已經幾乎很少見,docker和containerd基本成為容器運行時的主流實現。
在編排工具上,毫無懸念的Kubernetes占據了榜首,加上OpenShift以及Rancher,其占有比例達到了89%,Swarm從2018年的11%降到了5%。
2.?鏡像安全問題仍然突出
在用戶的生產環境中,有40%的鏡像來源于公開的鏡像倉庫。
鏡像的漏洞問題依然十分突出,連續5天對應用到生產環境中的鏡像進行漏洞掃描,通過率僅為48%。
3.?安全配置規范應用情況不理想
CIS等安全配置規范,在生產環境中落實情況并不是很理想,主要體現在禁用了seccomp、沒有設置SELinux、AppArmor、以root/特權模式運行等問題。
4.?運行時安全
通過Falco的監控,運行時安全威脅Top10主要體現在了寫/etc目錄、寫/root目錄、創建特權容器、更改線程命名空間、創建掛載敏感目錄的容器、獲取sudo權限、嘗試在二進制目錄下寫文件、異常運行shell、系統程序處理網絡行為、shell登入容器。
Kubernetes的node ready、CPU利用率、Memory利用率等成為主要的運維告警項。
總體來說,報告從多個角度展示了容器生態,尤其是容器環境的安全現狀。對比前兩年的報告,一方面可以看出,容器在計算環境中扮演了越來越重要的角色,另一方面,容器生態的安全問題,也是越來越多的引起容器使用者的關注。