StackRox公司最近發(fā)布了一份有關(guān)容器和Kubernetes安全狀態(tài)的調(diào)查報(bào)告，發(fā)布了與采用容器化工作負(fù)載的數(shù)據(jù)中心安全問(wèn)題相關(guān)的統(tǒng)計(jì)數(shù)據(jù)。在對(duì)540名IT和安全專(zhuān)業(yè)人員的調(diào)查中，94%的受訪(fǎng)者表示在過(guò)去一年中遭遇了安全事件。而錯(cuò)誤配置和人為錯(cuò)誤是采用容器技術(shù)的主要問(wèn)題。

[[323389]]

因此，已經(jīng)部署或正在部署容器技術(shù)的企業(yè)會(huì)受到容器托管應(yīng)用程序缺乏安全性的影響。這對(duì)許多企業(yè)將容器納入數(shù)據(jù)中心現(xiàn)代化戰(zhàn)略的整個(gè)過(guò)程產(chǎn)生了不利的影響。

對(duì)部署的影響

云原生計(jì)算基金會(huì)(CNCF)最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，安全性已經(jīng)是使用和部署容器面臨的主要障礙之一。

此外，在StackRox公司的調(diào)查中，4%的受訪(fǎng)者由于對(duì)容器或Kubernetes的擔(dān)憂(yōu)而放慢了應(yīng)用程序部署到生產(chǎn)環(huán)境中的速度。這些數(shù)據(jù)表明，容器采用和部署已經(jīng)受到影響，更復(fù)雜的安全問(wèn)題將阻止這一進(jìn)程。

投資安全策略

在Kubernetes中發(fā)現(xiàn)的安全事件和漏洞使企業(yè)考慮重新制定其容器部署過(guò)程的戰(zhàn)略。早些時(shí)候在采用和實(shí)施容器時(shí)，企業(yè)很少?gòu)?qiáng)調(diào)安全性，從而降低了資本支出。根據(jù)StackRox和CNCF調(diào)查得出的見(jiàn)解，人們需要認(rèn)識(shí)到安全集成的重要性。

由于容器的使用案例廣泛，可以促進(jìn)數(shù)字創(chuàng)新，因此企業(yè)將采取可操作的步驟來(lái)強(qiáng)化容器化的工作負(fù)載。一種是使用容器或Kubernetes安全平臺(tái)，或者使用托管解決方案或容器服務(wù)。這將幫助企業(yè)實(shí)現(xiàn)容器和Kubernetes集群的自動(dòng)化管理，以確保安全和更新。

安全技能

Kubernetes和容器是開(kāi)源的，并且是隨著時(shí)間而發(fā)展的相對(duì)較新的技術(shù)。但是，由于對(duì)安全實(shí)踐缺乏了解和技能，容器的廣泛接受已使人們意識(shí)到其安全性問(wèn)題。

StackRox公司調(diào)查報(bào)告的主要亮點(diǎn)是，大多數(shù)安全故障都是由于配置錯(cuò)誤而發(fā)生。為了解決這個(gè)問(wèn)題，企業(yè)將招聘技能熟練的工程師，培訓(xùn)現(xiàn)有員工，并授權(quán)他們遵循最佳的集裝箱安全實(shí)踐。Kubernetes是一個(gè)領(lǐng)先的編排平臺(tái)，并且很多認(rèn)為只能使用它來(lái)管理容器。擁有Kubernetes專(zhuān)業(yè)知識(shí)并具有安全集群部署和管理能力的技術(shù)人員將是最重要的招聘對(duì)象。

開(kāi)發(fā)安全性

Puppet公司最近發(fā)布的《2019年DevOps狀態(tài)報(bào)告》闡明了在軟件交付生命周期中集成安全性的重要性。該報(bào)告建議采用DevOps的組織應(yīng)在軟件服務(wù)的交付周期中優(yōu)先考慮安全性。此外還發(fā)現(xiàn)，如果在開(kāi)發(fā)和部署應(yīng)用程序和工具集成在一起以處理測(cè)試和安全事件時(shí)遵循安全實(shí)踐，則對(duì)容器環(huán)境的影響將較小。

由于更多的自動(dòng)化將涉及容器的配置和管理，因此錯(cuò)誤配置和人為錯(cuò)誤的更改將減少。企業(yè)將與安全團(tuán)隊(duì)和開(kāi)發(fā)人員融合使用DevOps方法，以確保容器不會(huì)受到安全漏洞的影響。

容器網(wǎng)絡(luò)中的零信任

不同級(jí)別用戶(hù)的訪(fǎng)問(wèn)授權(quán)是確保任何數(shù)據(jù)中心環(huán)境安全的關(guān)鍵。對(duì)于容器，編排平臺(tái)(如Kubernetes)提供了基于角色的訪(fǎng)問(wèn)控制(RBAC)，PodSecurity Policy和身份驗(yàn)證機(jī)制等模塊，以加強(qiáng)集群和Pod的訪(fǎng)問(wèn)。在此基礎(chǔ)上，零信任網(wǎng)絡(luò)覆蓋將開(kāi)始在托管大量微服務(wù)的Kubernetes集群中實(shí)現(xiàn)。

使用Istio和LinkedD等服務(wù)網(wǎng)格技術(shù)是使用零信任網(wǎng)絡(luò)覆蓋的一項(xiàng)舉措。將增加使用服務(wù)網(wǎng)格，以獲得更好的可見(jiàn)性、網(wǎng)絡(luò)控制和微服務(wù)之間的數(shù)據(jù)加密。

結(jié)論

容器和Kubernetes的采用帶來(lái)了數(shù)字化轉(zhuǎn)型過(guò)程中的靈活性，安全問(wèn)題已被證明是一個(gè)障礙。但是，各種容器和Kubernetes可以通過(guò)現(xiàn)有機(jī)制和管理解決方案來(lái)實(shí)施。