【.com快译】不可否认,在快速发展的DevOps和持续集成/交付领域,安全问题仍然需要我们持续关注和细心对待。尽管有许多工具和技术可以让我们将安全性集成到现有的工作流中,但容器安全性只是其中的一个方面。我们仍然需要安全专家采用各种最佳实践来提供全面的安全保护。作为容器安全防护平台,StackRox(参见——https://www.stackrox.com/)近期发布了《容器和Kubernetes安全态势报告》(https://www.stackrox.com/kubernetes-adoption-and-security-trends-and-容器的市场份额/)。他们对540名IT专业人员对容器和Kubernetes安全模型的使用情况进行了全面调查,发现了一些有趣的现象。从报告中我们可以看到,很多企业都在利用容器技术来提高开发速度,但为了不漏掉安全防护的关键点,他们正在逐步放慢应用的部署进程。接下来,就让我们借助这份报告,深入分析一下今年容器安全领域的统计数据和趋势。引领大规模数字化转型容器、Kubernetes和微服务通常被视为快速向云原生应用转型和创新的主要工具。作为数字化转型的典范,许多公司都受益于云原生应用程序。如下图左侧所示,绝大多数受访者认为容器和Kubernetes为其组织带来的竞争优势主要体现在“更快的应用开发和发布”。然而,右图告诉我们,近一半的企业仍然持“观望”的态度。也就是说,44%的受访者(和组织)承认出于安全考虑而延迟将应用程序部署到生产中。由于将安全性集成到现有工作流中并不总是那么容易,这直接延迟了微服务和云原生应用程序的快速部署。容器安全威胁持续上升报告称,云原生应用面临的威胁有所增加。如下图所示,94%的人在过去12个月内经历过与容器和Kubernetes相关的安全事件。这个数字是惊人的,尤其是当我们考虑安全事件的影响时,它可能会给组织带来灾难性后果。无论是简单的数据泄露还是分布式拒绝服务(DDoS)攻击,都可能导致用户对企业应用程序及其安全性失去信任,从而产生复杂的业务风险。该报告还指出,大多数安全风险是由人为错误引起的,例如错误配置云环境或Kubernetes集群。可以毫不夸张地说,由代码错误和集群错误配置引起的事件数量与已知和已修复漏洞的数量相当。提高优先级随着企业越来越意识到容器安全风险,受访者能够继续关注与容器安全相关的政策。在上一轮调查(2019年春季)中,34%的受访者表示他们现有的容器策略不够详细(参见--https://www.stackrox.com/post/2019/07/top-5-来自容器状态和kubernetes安全报告/的外卖)。在这一轮调查中,这个数字下降到22%。这些策略主要包括:如何保护容器化环境,以及如何在不降低环境安全态势的情况下加快部署过程。同时,从各个组织的采用程度来看,容器的安全策略也越来越容易被采用。目前,34%的受访者将其组织的安全策略评为中等级别;14%的人认为他们组织的安全策略已经达到成熟状态。容器应用如前所述,容器和Kubernetes共同推动组织创新。目前,越来越多的公司将单体应用和解决方案转变为可以充分利用云环境的微服务。如下图所示,29%的受访者在其企业超过50%的应用解决方案中采用了云原生容器化,几乎是2018年秋季的两倍。如前所述,容器安全问题集中爆发在部署和运行时。过去,大多数开发运行时都设计为仅在本地、受限的生态系统中运行,因此安全问题不是什么大问题。而当各种应用在云端部署运行时,安全隐患就变得非常突出。进一步调查显示,云服务专业人员和组织将错误配置视为安全风险的主要原因。相比之下,各类攻击不被视为主要安全威胁,只有12%的受访者表示担忧。同时,他们不认为漏洞是威胁的主要来源,只有27%的受访者对此表示担忧。调查还显示,云原生应用比混合部署更受欢迎。这意味着许多组织有足够的信心将其应用程序完全迁移到云中,而无需依赖本地和云的混合部署模型。背后的原因主要是因为:现在我们有了更成熟的云基础设施。虽然谷歌是Kubernetes背后的公司,但我们发现亚马逊网络服务(AWS)在容器化市场的云基础设施份额方面可以排名第一,微软的Azure第二,谷歌云平台(GCP)只能排名第三,虽然其增长率已经超过了Azure。如下图所示,78%的受访者会选择AWS来支持他们的应用程序。有兴趣的可以参考文章《Google Cloud Platform(GCP)与Amazon Web Services(AWS)在成本、易用性和优势方面的比较》--https://blog.cherre.com/2020/03/10/gcp-vs-aws/。在AWS引领市场的同时,其编排工具也在市场上越来越受欢迎。让我们来看看最流行的五种容器编排工具:AmazonEKS占比37%。自管理/自托管Kubernetes占比35%。亚马逊ECS占28%。AzureAKS占21%。谷歌GKE占比21%。可以看出,在受访者看来,亚马逊的整体市场份额最大。ElasticContainerService(ECS)和ElasticKubernetesService(EKS)都易于使用,并且可以与其他亚马逊服务和工具无缝集成。他们以具有竞争力的价格结构主导了市场。挑战与对策人们普遍认为,在向云原生应用和容器化微服务迁移的趋势下,企业在将单体应用转换为使用云计算能力的微服务时往往面临严重障碍。特别是对于Kubernetes,团队内部的技能差距和陡峭的学习曲线将成为整个推广过程中的巨大障碍。Kubernetes和容器的学习曲线不同于标准软件工程范例。在Kubernetes项目的早期阶段,企业需要寻找和雇用具有丰富的云平台开发经验的人员。在集装箱管理过程中,所涉及的风险管理水平和专业知识也给企业带来了新的挑战。好消息是,DevOps工程师和越来越多可用的容器安全解决方案正在帮助企业简化保护容器和部署安全措施的整个过程。秉承早期实施和“安全左移”的理念,各种安全措施将更容易集成到CI/CD管道中。得益于云服务的发展和普及,各种关键的安全功能现在可以以托管服务的形式提供给云原生和混合应用产品。其中包括:漏洞管理。配置管理。合规检查。运行时威胁检测。风险分析和一般评估。可见性管理。网络分割。如果安全工程师和开发人员擅长处理代码级安全,那么DevOps工程师通常负责保护在云环境和微服务中运行的目标应用程序。他们可以使用各种在线工具对上述各种安全功能点进行持续管理和维护。总结StackRox发布的2020年版《容器和Kubernetes安全态势报告》,各种统计数据显示,容器和Kubernetes安全相关的关键点主要体现在以下四个方面:Kubernetes是大势所趋。它不仅提供了灵活性,还支持围绕编排工具构建服务。企业正在寻找改进容器化和Kubernetes编排的方法,以改善云原生应用程序开发和部署的安全状况。容器(尤其是Kubernetes)是通用的,与云服务类型无关。这也是Kubernetes最大的优势之一。只要满足运行时要求,你就可以在不同的环境中部署同一套微服务。这意味着:安全性可以是一个标准化的过程,而不是个案工作流程。换句话说,您可以使用相同的配置和方法来保护任何Kubernetes集群。安全是一个持续的过程,而不是驻留在CI/CD管道末端的待完成任务。也就是说,安全流程需要与CI/CD工作流的其余部分一起推进,包括:代码审查和部署。DevOps将充当桥梁。在不久的将来,DevOps团队将在开发之初引入安全“布局”,全面负责和保障整个云环境的安全。他们还将利用各种最佳实践来提高云环境中的容器安全性。总体而言,该报告向我们表明,DevOps团队需要从一开始就将安全性作为重中之重,并主动将容器安全性纳入其流程,以显着减少攻击面并提高云应用程序的安全性。整体安全。原标题:ContainerandKubernetesSecurity:A2020Update,作者:StefanThorpe
