Hello folks,我是 Luga,今天我们来分享一下基于 Sysdig 公司所整理的 2023 云原生安全和使用报告,主要涉及容器使用和雲原生安全 2 方面,具體內容如下文所示。
第六份年度 Sysdig 云原生安全和使用报告深入探讨了各种规模和行业的 Sysdig 客户如何使用、保护云和容器环境并为其付费。我们检查了数据并发现了一些有趣的趋势,这些趋势可能会帮助我们开发最佳实践来保护和监控所构建的云原生环境。
今年的报告有关于云安全、容器漏洞和 Kubernetes 成本优化的新数据。继续阅读以了解大家的看法!
— 1—
数据的获取
因为我们的软件监控云安全、容器安全以及容器使用情况,所以我们对组织如何在云原生环境中使用云服务、Kubernetes、注册表、警报和应用程序有独特的看法。这种真实世界的实时数据提供了对我们的一部分客户每天运行的数百万个容器的使用情况的洞察,以及过去一年中数十亿个独特容器的使用情况。该报告详细介绍了安全风险、云成本和容器使用趋势。
— 2—
供应链风险
我们的研究表明,87% 的容器镜像存在高危或严重漏洞。现实情况是有太多的漏洞需要修复,而团队也在为如何确定它们的优先级而苦苦挣扎。事实上,85% 的严重漏洞和高漏洞都有可用的修复程序,但在可被利用的运行时并未使用。
团队正在将时间和资源浪费在对他们的组织没有风险的漏洞上,并且没有修补高风险漏洞。通过专注于运行时暴露的内容,团队可以专注于最重要的 15% 的漏洞。
— 3—
过于宽松的访问
云安全最佳实践和零信任架构原则强调组织应避免授予过于宽松的访问权限。然而,报告中的数据显示 90% 的权限未使用。如果攻击者破坏了具有特权访问或过度权限的身份的凭据,他们将拥有我们所构建云环境中王国的钥匙。
— 4—
云成本和未使用的容量
我们发现 59% 的容器没有定义 CPU 限制,并且 69% 的请求 CPU 资源未被使用。如果没有 Kubernetes Cluster 环境的利用率信息,开发人员就不知道他们的云资源在哪里分配过多或分配不足。对于大型部署,优化环境平均可以节省 1000 万美元的云消费费用。平均而言,各种规模的组织都可能超支 40%。
— 5—
容器寿命短暂化
今年的数据显示,72% 的容器现在存活不到五分钟!事件响应和取证团队需要有准确的记录,以防在容器消失后必须调查事件。工程团队还需要类似的数据来进行应用程序和基础架构故障排除。由于容器持续时间如此短,收集这些信息变得越来越困难。
我们的研究表明,尽管人们意识到所需的工具和零信任方法的好处,但云安全流程仍然落后于云采用的快速步伐。根据我们检查的真实客户数据,有如下几個安全实践领域需要改进以降低风险:
1、身份和访问管理:授予的权限与所需权限之间的巨大差异凸显了定期衡量和管理权限以减少攻击机会的迫切需要。
2、漏洞管理:由于大多数容器镜像在生产中运行时都存在风险漏洞,因此,团队必须解决镜像膨胀问题,并根据实际运行时风险对漏洞进行优先级排序,从而集中精力进行补救。
3、检测和响应:特权升级和防御规避攻击是我们客户面临的首要威胁。为了领先于不断变化的威胁形势,应定期更新威胁检测规则以发现恶意活动。
除了安全性之外,今年的数据还表明组织有机会通过处理未使用的 Kubernetes 资源来降低云成本,在容量规划上投入时间可以产生丰厚的回报。通过实施适当的容器资源限制和持续监控,组织将能够在不影响应用程序性能的情况下達到降本增效。
Adiós !
作者 | MICHAEL ISBITSKI
譯者 | Luga Lee
策劃 | Luga Lee
