紅帽發(fā)布了一份最新的 “2022 年 Kubernetes 安全狀況” 報告，調(diào)查了組織在云原生開發(fā)方面面臨的安全挑戰(zhàn)，以及他們?nèi)绾螒?yīng)對這些挑戰(zhàn)以保護其應(yīng)用程序和 IT 環(huán)境。該報告基于對 300 多名 DevOps、工程和安全專業(yè)人員的調(diào)查，重點介紹了公司如何在采用容器和 Kubernetes 的同時平衡這些環(huán)境的安全性。

報告指出，與前幾年類似，安全仍然是容器采用的最大問題之一。新技術(shù)與傳統(tǒng) IT 環(huán)境集成時可能會帶來無法預(yù)料的安全挑戰(zhàn)，而鑒于容器的安全需求橫跨應(yīng)用程序生命周期的所有方面，從開發(fā)到部署和維護，容器呈現(xiàn)出特別復(fù)雜的情況。該報告發(fā)現(xiàn)，31% 的受訪者對容器策略最常見的擔憂是對容器的安全威脅和容器安全投資不足。

有 93% 的受訪者在過去 12 個月中在其 Kubernetes 環(huán)境中至少經(jīng)歷過一次安全事件，該事件有時也導致了受訪者收入或客戶的流失。過去一年，超過一半的受訪者(55%)還因為安全問題不得不推遲他們應(yīng)用程序的推出。對此，報告將責任歸咎于 Kubernetes 主要是專注于生產(chǎn)力而不是安全性?！癒ubernetes 和容器雖然功能強大，但卻是為開發(fā)者的生產(chǎn)力而設(shè)計的，不一定是為了安全。例如，默認的 pod-to-pod 網(wǎng)絡(luò)設(shè)置允許開放通信，以快速啟動和運行一個集群，但卻犧牲了安全加固。”

報告稱，人為錯誤仍然是導致數(shù)據(jù)泄露的原因之一;其引用了世界經(jīng)濟論壇的一份研究報告進行佐證，“人為錯誤是 95% 的數(shù)據(jù)泄露事件的主要促成因素”。數(shù)據(jù)表明，在過去的 12 個月里，近 53% 的受訪者在他們的環(huán)境中經(jīng)歷了錯誤配置事件。38% 的人發(fā)現(xiàn)了一個重大的漏洞，30% 的人說他們遭遇了運行時安全事件;還有 22% 的人說他們沒有通過審計。

相較于媒體廣泛關(guān)注的網(wǎng)絡(luò)攻擊，IT 人員最為擔心的也還是錯誤配置所造成的風險?！癒ubernetes 是高度可定制的，具有可以影響應(yīng)用程序安全狀態(tài)的各種配置選項。因此，受訪者最擔心由于容器和 Kubernetes 環(huán)境中的錯誤配置而導致的風險(46%)—— 幾乎是對攻擊的擔憂程度(16%)的三倍”。盡可能的自動化配置管理則有助于緩解這些問題。

另一方面，DevSecOps 已逐漸成為一些組織的標準。絕大多數(shù)受訪者(78%)表示，他們在初級或高級階段都有 DevSecOps 計劃。在 DevSecOps 方面，27% 的受訪者認為自己所在的是最具前瞻性的組織，他們采用先進的 DevSecOps 計劃，在整個應(yīng)用程序生命周期中集成和自動化安全性。

開發(fā)、運維和安全團隊之間的協(xié)作也被重視起來。報告指出，受當今快速的發(fā)布周期影響，安全性已經(jīng)必須左移并嵌入到 DevOps 工作流中，而不是在應(yīng)用程序即將部署到生產(chǎn)中時才考慮;大部分受訪者都對這一觀點表示了認同。除了很多人正在實施 DevSecOps 之外，只有 22% 的受訪者表示他們繼續(xù)將 DevOps 與安全分開操作;且只有 16% 的受訪者確定他們將由中央 IT 安全團隊負責 Kubernetes 的安全。

紅帽方面總結(jié)稱，盡管存在潛在的安全問題，但采用容器和 Kubernetes 的好處仍然大于弊端。關(guān)鍵是尋找一個容器和 Kubernetes 安全平臺，將 DevOps 最佳實踐和內(nèi)部控制作為其配置檢查的一部分。它還應(yīng)該評估 Kubernetes 本身的配置的安全狀況，以便開發(fā)人員可以專注于功能交付。

??完整報告地址??

本文轉(zhuǎn)自O(shè)SCHINA

本文標題：紅帽 Kubernetes 報告：安全成最大挑戰(zhàn)，問題癥結(jié)在于人

本文地址：https://www.oschina.net/news/196582/state-kubernetes-security-2022