报告引自:Sysdig 2023 Cloud-Native Security and Usage Report
近日,云和容器安全领域公司Sysdig,发布了2023年云原生安全和使用报告。今年报告聚焦于两个主题,揭示了供应链风险和零信任架构准备度是云和容器环境中最大的未解决安全问题。该报告还揭示了由于过度分配容量而导致的数千万美元的云支出浪费。
通过实际数据,第六期年度报告揭示了全球各行各业不同规模的公司如何使用和保护云和容器环境。数据集涵盖了Sysdig客户在过去一年中操作的数十亿个容器、数千个云账户和数十万个应用程序。
报告要点
· 87%的容器镜像存在高危或关键漏洞:由于现代设计的特性以及开源镜像的共享,安全团队面临着大量容器漏洞。实际情况是,团队无法修复所有漏洞,并且他们难以找到正确的参数来优先处理漏洞并缩减其工作负载。
· 但是,报告还发现只有15%的可用修复程序中有严重或高危漏洞,这些修复程序是在运行时加载的。通过筛选实际使用的容易受攻击的软件包,组织团队可以将重点放在可修复漏洞的较小部分上,这些漏洞代表真正的风险。将漏洞数量减少85%至15%为网络安全团队提供了更具可操作性的数字。
· 90%的授权权限未被使用:零信任架构原则强调组织应避免授予过于宽泛的访问权限。报告数据显示,90%的权限未被使用。如果攻击者攫取了拥有特权访问或过度权限的身份的凭据,则在云环境中他们将拥有“天堂之钥”。
· 59%的容器没有定义CPU限制,69%的请求CPU资源未被使用:在Kubernetes环境中没有利用信息,开发人员无法确定他们的云资源在何处过度或分配不足。所有规模的组织都可能超支40%,对于大规模部署,优化环境可以平均节省1000万美元的云消费账单。
· 72%的容器存活时间不到五分钟:容器消失后收集故障排除信息几乎是不可能的,而容器的寿命在今年减少了28%。这种减少反映了组织在容器编排使用方面的成熟度,强调了需要与云的短暂性相适应的安全性。
“ 回顾去年的报告,容器的采用继续成熟,这从容器生命周期的缩短中可以看出。然而,配置错误和漏洞仍然困扰着云环境,而供应链正在放大安全问题的体现。用户和服务的权限管理是另一个我希望看到人们更加严格的领域,” Sysdig 的网络安全战略总监 Michael Isbitski 说道,“今年的报告显示了巨大的增长,并概述了最佳实践,我希望团队们在 2024 年的报告中采纳这些实践,例如查看实际风险曝光情况,以了解真正的风险,并优先处理对业务产生真正影响的漏洞。”
结论
我们的研究表明,尽管人们意识到所需的工具和零信任方法的好处,但云安全流程仍然落后于云采用的快速步伐。从我们研究的真实客户数据中,有几个安全实践领域需要改进以降低风险:
· 身份和访问管理:授予权限与所需权限之间的巨大差异突显了定期测量和管理权限以减少攻击机会的紧迫性。
· 漏洞管理:由于大多数容器镜像在生产中运行具有风险的漏洞,团队必须通过基于实际运行时风险的漏洞优先级来解决镜像臃肿问题并集中其修复工作。
· 检测和响应:特权升级和防御规避攻击是我们客户威胁清单的首要问题。为了赶上不断变化的威胁环境,威胁检测规则应定期更新以发现恶意活动。
除了安全之外,今年的数据表明,组织通过处理未使用的Kubernetes资源可以降低云成本。投入时间进行容量规划可以获得强大的回报。通过实施适当的容器资源限制和持续监控,组织将能够在不影响应用程序性能的情况下优化成本。
我们第六期年度报告的主要趋势突显了容器环境持续增长,和越来越依赖开源解决方案,我们需要稳定运行和保护它们的安全。针对云和容器设计的自动化和可扩展工具的市场在不断扩大,这可以帮助团队更有效地发现威胁和风险,避免遗漏,聚焦于具有最大影响力的行动,避免浪费时间。
安全左移:灵雀云ACP的云原生安全实践
在云原生安全策略方面,Sysdig认为,云原生安全防护的核心在于规则。规则定义和维护,都需要安全人员基于自身安全策略的规则进行定义和维护,由于规则的定制化还可能存在规则被绕过的情况,只有融入到具体情况千差万别的生产环境中,安全运营团队持续地采用多种检测手段交叉验证、形成闭环,才能真正有效发挥作用。
灵雀云在云原生安全实践时也秉持着同样的安全策略。为了更好地帮助企业用户实现云原生转型的平稳过渡,完成数字化转型,灵雀云始终把产品和服务的安全性放在首位,遵循安全“左移”设计原则,通过以下几点构筑了强大的云原生安全防线:
· 完善的用户安全策略
为确保用户登录安全,灵雀云ACP支持设置用户安全策略,包括密码安全、用户禁用、用户锁定、密码通知、访问控制等策略。提升平台用户的安全性,降低恶意攻击风险。
· 服务化的IT安全治理
支持中小型企业的多租户管理场景,实现细粒度权限控制和自助IT治理;统一管理和监控不同基础设施环境上的资源,通过安全审计机制,保障系统安全性。
· 全生命周期的DevSecOps
在应用的整个生命周期内确保安全性;实现安全防护自动化,以保护整体环境和数据;同时在构建/测试/部署过程中通过配置安全策略(比如镜像漏洞扫描策略、代码安全扫描策略)来保证应用整体的安全性;通过自动执行统一的安全质量标准,从而确保组织交付更安全的软件;支持集成适用于容器的安全性扫描程序。
在实践方面,以某全国性大型银行为例,该银行全栈云容器平台作为驱动金融数字基础设施建设的重要引擎,通过建立上述安全“左移”的云原生安全防护模型,践行安全可靠的DevSecOps理念,实现了企业级的全生命周期自适应安全、IT系统智能化检测、可靠的容器安全管理、敏捷化DevSecOps流程、零信任安全风险评估,大大提升了其业务系统的安全风险免疫能力。
