2019年1月份,Tripwire发布了2019年关于容器安全的最新现状调查研究。相较于DORA的每年度的DevOps报告,这份报告虽然在调研的数量上远远少于,但是考虑到报告定位的问题较为专一和深入,同时Tripwire本身在安全相关的行业经验。DevOps实践的新宠(容器)在安全方面的现状让我们拭目以待。
调研机构
Tripwire致力于IDS(Intrusion detection system:***检测系统)的研究和对应,它根据系统整体的完整性是否遭到破坏来判断是否被***,在安全领域有一定的名声。在DevOps实践方面,可能这家公司的合作创始人兼前CTO的Gene Kim(凤凰项目一书的作者)更加有名气一些。而Tripwire早在2014年底,就已经被美国最大的高速电子电缆生产商之一的百通(Belden Inc)所并购。
数据来源
这份报告的结论是建立在对数百份IT安全相关的职业人员的调研基础之上的。而受访对象中311位受访者在超过100名雇员的公司中管理环境中的容器。而搞到86%的受访者(269位)在生产环境中进行镜像的使用。
而受访对象中关于所在行业也与2019年DevSecOps的数据不谋而合,科技和金融合起来接近半壁江山,容器在科技和金融领域的展开相较于其他行业还是有一定的优势的。
使用现状:86%的受访者在生成环境中使用了容器
根据反馈,高达86%的受访者在生产环境中使用了容器。近1/3(32%)的受访者所在企业生产环境中使用容器的数量超过100,近1/3的受访对象对容器的使用在10-100之间,少于10个的企业占到22%。整体来看容器在生产环境的使用已经得到了很大程度的推进。
对于容器安全的关注
对于容器安全,高达94%的受访对象对容器安全比较关注,只有6%的受访者表示并不在乎。而表示高度关注的受访对象也达到了43%,所以容器安全是一个从开始就得到了重视的安全问题。
用的越多关注度愈高
从在生产环境中使用的容器数量来分析关注度高的受访者状况,显示出使用的容器数量愈多,对于容器安全的关注愈高,生产环境中容器数量超过100的受访者的“非常关注”的比例达到了54%。
注:上图中深红色的(More than 10 containers应该是报告的失误,此处明显应该是100)
了解的愈多关注度愈高
受职责所在以及对于容器安全的知识多少的影响,显示出具有安全相关的职责和对于容器安全知识的多少都会造成关注度的不同。知道的愈多,关注度愈高。
容器安全的关注点
对于容器安全的关注相关的调查显示,目前的状态仍然停留在“团队缺乏足够的容器安全知识”的程度,由于不了解产生的关注,仍很难落于实处。
生产环境的使用不容乐观
在前面的数据中显示311位受访者所在企业中高达269位所在的企业在生产环境中使用了容器。而在这之中,只有7%的受访者表示“他们的生产环境没有安全性的问题”,剩余93的受访者之中,47%确信他们在生产环境中有安全性的问题,46%不知道/不确信他们是否有类似的问题。
47%的受访者确信他们存在容器安全的隐患
47%的受访者确信他们存在容器安全的隐患,这其中包括:
17%的受访者表示清楚地知道存在这些问题,但是义无反顾地将容器布置到了生产环境
30%的受访者表示知道存在这些问题,但是并不知道这些安全性的问题到底是什么
46%的受访者不知道/不确信是否有类似问题
46%的受访者不知道/不确信是否有类似问题,这其中包括:
20%的受访者表示他们不认为有,但是不是很确信
22%的受访者表示他们知道有一些,但是不确信
4%的受访者表示他们不知道
这是一个很可怕的反馈,潜台词就是,高达93%的受访者不是非常清楚问题的状况,而这里是生产环境的部署。而根据容器使用数量的反馈进行分析也能得到类似的结果:
这里面可以看到一个能显示非常重要信号的数据,关于“我们知道问题的所在,但是我们还是部署了它们”的情况,可以看到这是一个接近线性的比例,在生产环境中使用的多(超过100容器),这种问题发生的比例就高,也就是说目前的容器安全的意识和水平,整体来说很难说很高。
60%的受访者所在组织在过去一年碰到过安全事件
除了29%的受访者明确表示没有安全问题,11%的受访者表示不知道之外,剩余的60%的受访者所在组织在过去的一年中都碰到过安全事件,其中5次以下的占到了37%,而超过100次的也有3%。
做的越多错的越多
前面已经分析过了,在生产环境部署了100个以上的组织,并不意味着他们是在成熟度高了之后进行的逐步扩展,从结果的分析看来,明显是做的越多错的越多。
未来期待
关于未来的期待,71%的受访者不是这么认为的。
71%的受访者认为容器安全问题所占的比例在接下来的一年会稳定上升
相较于对安全状况的不慎明了,对于容器安全问题在来年所占比率上,13%的受访者认为会
大幅上升,58%认为会小幅上升,合计71%的受访者对此表示强烈的信心。
而关于问题会增多的原因更多的受访者分析为内因,容器的推广和在关键业务中的使用都大于或等于对于外部***可能侵入的担忧。
42%的受访者表示会因为安全风险限制容器的推广
虽然有点像因噎废食,安全风险的确不容忽视,虽然看起来正确的做法是增加安全的防护,42%的受访者明确表示会考虑因安全风险限制容器的使用。
高达98%的用户反馈希望在容器环境中增强安全相关的功能
谁该负责容器安全
关于谁该负责容器安全这个话题,46%的受访者认为负责IT安全的部门应该负责这个。
由于容器的采用,82%的受访者认为关于安全职责的问题需要重新思考
这不只是一份调查报告,很有可能跟你的工作相关,容器的引入带来了新的安全问题。这个问题谁该负责并没有一个标准的答案,46%的受访者认为是IT安全部门应该负责,很有可能这些受访者都不是IT安全部门的员工。
总结
容器的推行势在必行,容器安全的责任归属尚未明确,容器的采纳带来的安全问题已经实际存在,落到谁的头上只是时间的问题,总需要有人来解决这个问题,组织在思考,安全问题不会等待。在我们的思考之中继续安全问题仍然在平稳地发生。
参考内容
https://www.tripwire.com/solutions/devops/tripwire-dimensional-research-state-of-container-security-report
————————————————
https://blog.csdn.net/liumiaocn/article/details/88388096