紅帽發(fā)布了一份最新的 “2022 年 Kubernetes 安全狀況” 報告，調查了組織在云原生開發(fā)方面面臨的安全挑戰(zhàn)，以及他們如何應對這些挑戰(zhàn)以保護其應用程序和 IT 環(huán)境。該報告基于對 300 多名 DevOps、工程和安全專業(yè)人員的調查，重點介紹了公司如何在采用容器和 Kubernetes 的同時平衡這些環(huán)境的安全性。

報告指出，與前幾年類似，安全仍然是容器采用的最大問題之一。新技術與傳統(tǒng) IT 環(huán)境集成時可能會帶來無法預料的安全挑戰(zhàn)，而鑒于容器的安全需求橫跨應用程序生命周期的所有方面，從開發(fā)到部署和維護，容器呈現出特別復雜的情況。該報告發(fā)現，31% 的受訪者對容器策略最常見的擔憂是對容器的安全威脅和容器安全投資不足。

有 93% 的受訪者在過去 12 個月中在其 Kubernetes 環(huán)境中至少經歷過一次安全事件，該事件有時也導致了受訪者收入或客戶的流失。過去一年，超過一半的受訪者(55%)還因為安全問題不得不推遲他們應用程序的推出。對此，報告將責任歸咎于 Kubernetes 主要是專注于生產力而不是安全性。“Kubernetes 和容器雖然功能強大，但卻是為開發(fā)者的生產力而設計的，不一定是為了安全。例如，默認的 pod-to-pod 網絡設置允許開放通信，以快速啟動和運行一個集群，但卻犧牲了安全加固。”

報告稱，人為錯誤仍然是導致數據泄露的原因之一;其引用了世界經濟論壇的一份研究報告進行佐證，“人為錯誤是 95% 的數據泄露事件的主要促成因素”。數據表明，在過去的 12 個月里，近 53% 的受訪者在他們的環(huán)境中經歷了錯誤配置事件。38% 的人發(fā)現了一個重大的漏洞，30% 的人說他們遭遇了運行時安全事件;還有 22% 的人說他們沒有通過審計。

相較于媒體廣泛關注的網絡攻擊，IT 人員最為擔心的也還是錯誤配置所造成的風險。“Kubernetes 是高度可定制的，具有可以影響應用程序安全狀態(tài)的各種配置選項。因此，受訪者最擔心由于容器和 Kubernetes 環(huán)境中的錯誤配置而導致的風險(46%)—— 幾乎是對攻擊的擔憂程度(16%)的三倍”。盡可能的自動化配置管理則有助于緩解這些問題。

另一方面，DevSecOps 已逐漸成為一些組織的標準。絕大多數受訪者(78%)表示，他們在初級或高級階段都有 DevSecOps 計劃。在 DevSecOps 方面，27% 的受訪者認為自己所在的是最具前瞻性的組織，他們采用先進的 DevSecOps 計劃，在整個應用程序生命周期中集成和自動化安全性。

開發(fā)、運維和安全團隊之間的協作也被重視起來。報告指出，受當今快速的發(fā)布周期影響，安全性已經必須左移并嵌入到 DevOps 工作流中，而不是在應用程序即將部署到生產中時才考慮;大部分受訪者都對這一觀點表示了認同。除了很多人正在實施 DevSecOps 之外，只有 22% 的受訪者表示他們繼續(xù)將 DevOps 與安全分開操作;且只有 16% 的受訪者確定他們將由中央 IT 安全團隊負責 Kubernetes 的安全。

紅帽方面總結稱，盡管存在潛在的安全問題，但采用容器和 Kubernetes 的好處仍然大于弊端。關鍵是尋找一個容器和 Kubernetes 安全平臺，將 DevOps 最佳實踐和內部控制作為其配置檢查的一部分。它還應該評估 Kubernetes 本身的配置的安全狀況，以便開發(fā)人員可以專注于功能交付。

??完整報告地址??

本文轉自OSCHINA

本文標題：紅帽 Kubernetes 報告：安全成最大挑戰(zhàn)，問題癥結在于人

本文地址：https://www.oschina.net/news/196582/state-kubernetes-security-2022