Sysdig 2023 云原生安全和使用报告

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 防病毒版,最高20核 3个月
云安全中心漏洞修复资源包免费试用,100次1年
简介: Hello folks,我是 Luga,今天我们来分享一下基于 Sysdig 公司所整理的 2023 云原生安全和使用报告,主要涉及容器使用和雲原生安全 2 方面,具體內容如下文所示。

    Hello folks,我是 Luga,今天我们来分享一下基于 Sysdig 公司所整理的 2023 云原生安全和使用报告,主要涉及容器使用和雲原生安全 2 方面,具體內容如下文所示。

    第六份年度 Sysdig 云原生安全和使用报告深入探讨了各种规模和行业的 Sysdig 客户如何使用、保护云和容器环境并为其付费。我们检查了数据并发现了一些有趣的趋势,这些趋势可能会帮助我们开发最佳实践来保护和监控所构建的云原生环境。

    今年的报告有关于云安全、容器漏洞和 Kubernetes 成本优化的新数据。继续阅读以了解大家的看法!

 1

数据的获取


    因为我们的软件监控云安全、容器安全以及容器使用情况,所以我们对组织如何在云原生环境中使用云服务、Kubernetes、注册表、警报和应用程序有独特的看法。这种真实世界的实时数据提供了对我们的一部分客户每天运行的数百万个容器的使用情况的洞察,以及过去一年中数十亿个独特容器的使用情况。该报告详细介绍了安全风险、云成本和容器使用趋势。

 2

供应链风险


    我们的研究表明,87% 的容器镜像存在高危或严重漏洞。现实情况是有太多的漏洞需要修复,而团队也在为如何确定它们的优先级而苦苦挣扎。事实上,85% 的严重漏洞和高漏洞都有可用的修复程序,但在可被利用的运行时并未使用。

    团队正在将时间和资源浪费在对他们的组织没有风险的漏洞上,并且没有修补高风险漏洞。通过专注于运行时暴露的内容,团队可以专注于最重要的 15% 的漏洞。

 3

过于宽松的访问


    云安全最佳实践和零信任架构原则强调组织应避免授予过于宽松的访问权限。然而,报告中的数据显示 90% 的权限未使用。如果攻击者破坏了具有特权访问或过度权限的身份的凭据,他们将拥有我们所构建云环境中王国的钥匙。

 4

云成本和未使用的容量


    我们发现 59% 的容器没有定义 CPU 限制,并且 69% 的请求 CPU 资源未被使用。如果没有 Kubernetes Cluster 环境的利用率信息,开发人员就不知道他们的云资源在哪里分配过多或分配不足。对于大型部署,优化环境平均可以节省 1000 万美元的云消费费用。平均而言,各种规模的组织都可能超支 40%。

 5

容器寿命短暂化

   

    今年的数据显示,72% 的容器现在存活不到五分钟!事件响应和取证团队需要有准确的记录,以防在容器消失后必须调查事件。工程团队还需要类似的数据来进行应用程序和基础架构故障排除。由于容器持续时间如此短,收集这些信息变得越来越困难。

    我们的研究表明,尽管人们意识到所需的工具和零信任方法的好处,但云安全流程仍然落后于云采用的快速步伐。根据我们检查的真实客户数据,有如下几個安全实践领域需要改进以降低风险:

    1、身份和访问管理:授予的权限与所需权限之间的巨大差异凸显了定期衡量和管理权限以减少攻击机会的迫切需要。

    2、漏洞管理:由于大多数容器镜像在生产中运行时都存在风险漏洞,因此,团队必须解决镜像膨胀问题,并根据实际运行时风险对漏洞进行优先级排序,从而集中精力进行补救。

    3、检测和响应:特权升级防御规避攻击是我们客户面临的首要威胁。为了领先于不断变化的威胁形势,应定期更新威胁检测规则以发现恶意活动。

    除了安全性之外,今年的数据还表明组织有机会通过处理未使用的 Kubernetes 资源来降低云成本,在容量规划上投入时间可以产生丰厚的回报。通过实施适当的容器资源限制和持续监控,组织将能够在不影响应用程序性能的情况下達到降本增效。

      Adiós !

作者 | MICHAEL ISBITSKI  

譯者 | Luga Lee        

策劃 | Luga Lee  

相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
相关文章
|
7月前
|
监控 安全 Cloud Native
云原生开源沙龙北京站开启报名 | 微服务安全零信任架构
「微服务安全零信任架构」主题技术沙龙将于4月13日在北京阿里中心举行,欢迎报名!~
云原生开源沙龙北京站开启报名 | 微服务安全零信任架构
|
7月前
|
云安全 安全 Cloud Native
企业如何做好云原生安全
云原生安全不仅仅关注云计算普及带来的安全问题,它更强调以原生的思维来构建云上的安全建设、部署与应用,推动安全与云计算的深度融合。将安全能力内置于云平台中,实现云化部署、数据联通、产品联动,这有助于充分利用安全资源,降低安全解决方案的使用成本,实现真正意义上的普惠安全。
|
3月前
|
人工智能 安全 Cloud Native
阿里云云原生安全能力全线升级,护航百万客户云上安全
【重磅发布】9月20日,在杭州云栖大会上,阿里云宣布云原生安全能力全线升级,首次发布云原生网络检测与响应产品NDR(Network Detection Response,简称NDR)。同时,阿里云还宣布将持续增加免费的安全防护能力,帮助中小企业客户以极低投入完成基础的云上安全风险治理。
195 15
|
12天前
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
本文基于2024云栖大会演讲,探讨了软件供应链攻击的快速增长趋势及对企业安全的挑战。文中介绍了如何利用阿里云容器服务ACK、ACR和ASM构建云原生软件供应链安全,涵盖容器镜像的可信生产、管理和分发,以及服务网格ASM实现应用无感的零信任安全,确保企业在软件开发和部署过程中的安全性。
|
6天前
|
安全 Java API
Nacos 3.0 Alpha 发布,在安全、泛用、云原生更进一步
近期,我们欣喜地宣布 Nacos 3.0 的第一个版本 Nacos 3.0-ALPHA 已经发布。Nacos 3.0 的目标是在 2.0 的基础上,进一步优化安全性、易用性和标准化。同时,我们将引入更多功能,帮助用户在分布式协调、AI 大模型、云原生等多种场景中更好地使用 Nacos,以提升其广泛适应性。
|
1月前
|
监控 安全 Cloud Native
云原生安全:Istio在微服务架构中的安全策略与实践
【10月更文挑战第26天】随着云计算的发展,云原生架构成为企业数字化转型的关键。微服务作为其核心组件,虽具备灵活性和可扩展性,但也带来安全挑战。Istio作为开源服务网格,通过双向TLS加密、细粒度访问控制和强大的审计监控功能,有效保障微服务间的通信安全,成为云原生安全的重要工具。
49 2
|
3月前
|
安全 Cloud Native 测试技术
Star 3w+,向更安全、更泛化、更云原生的 Nacos3.0 演进
祝贺 Nacos 社区 Star 数突破 30000!值此时机,回顾过去的两年时间,Nacos 从 2.0.4 版本演进到了 2.4.2 版本,基本完成了当初构想的高性能、易拓展的目标,并且对产品的易用性和安全性进行了提升,同时优化了新的官网,并进行了多语言和更多生态支持。未来,Nacos 会向更安全、更泛化、更云原生的 Nacos3.0 演进。
159 15
|
2月前
|
Kubernetes 安全 Cloud Native
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
本文介绍了云原生环境下Kubernetes集群的安全问题及攻击方法。首先概述了云环境下的新型攻击路径,如通过虚拟机攻击云管理平台、容器逃逸控制宿主机等。接着详细解释了Kubernetes集群架构,并列举了常见组件的默认端口及其安全隐患。文章通过具体案例演示了API Server 8080和6443端口未授权访问的攻击过程,以及Kubelet 10250端口未授权访问的利用方法,展示了如何通过这些漏洞实现权限提升和横向渗透。
251 0
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
|
3月前
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
针对软件供应链的攻击事件在以每年三位数的速度激增,其中三方或开源软件已经成为攻击者关注的重要目标,其攻击方式和技术也在不断演进。通过供应链的传播,一个底层软件包的漏洞的影响范围可以波及世界。企业亟需更加标准和完善的供应链风险洞察和防护机制。本文将结合最佳实践的形式,面向容器应用完整的生命周期展示如何基于容器服务ACK/ACR/ASM助力企业构建云原生软件供应链安全。
|
3月前
|
存储 安全 Cloud Native
揭秘Quarkus安全秘籍:守护云原生应用,抵御未知威胁,助力企业稳健前行
随着云原生技术的发展,企业愈发倾向于在容器化环境中部署应用。作为一款专为云原优化的Java框架,Quarkus的安全性备受关注。本文介绍了Quarkus中的安全最佳实践,包括使用OpenID Connect进行身份认证、使用JWT进行权限控制以及保护敏感端点。通过这些实践,可有效提升应用安全性。同时,还需定期更新依赖库、使用HTTPS协议、加密存储敏感数据及定期进行安全审计,以确保应用的安全性和可靠性。
52 4