El informe se cita de: Sysdig 2023 Cloud-Native Security and Usage Report
Recientemente, Sysdig, una empresa en el campo de la seguridad de la nube y los contenedores, publicó el Informe de uso y seguridad nativa de la nube de 2023. El informe de este año se centra en dos temas y revela que el riesgo de la cadena de suministro y la preparación de la arquitectura de confianza cero son los mayores problemas de seguridad sin resolver en entornos de nube y contenedores. El informe también reveló decenas de millones de dólares en gastos de nube desperdiciados debido a la capacidad sobreasignada.
Usando datos reales, el sexto informe anual revela cómo las empresas de todos los tamaños y en todas las industrias utilizan y protegen los entornos de contenedores y la nube en todo el mundo. El conjunto de datos cubre miles de millones de contenedores, miles de cuentas en la nube y cientos de miles de aplicaciones que los clientes de Sysdig han operado durante el último año.
Destacados del informe
El 87 % de las imágenes de contenedores tienen vulnerabilidades críticas o de alta gravedad: debido a la naturaleza del diseño moderno y al uso compartido de imágenes de código abierto, los equipos de seguridad se enfrentan a una gran cantidad de vulnerabilidades de contenedores . La realidad es que los equipos no pueden corregir todos los errores y les cuesta encontrar los parámetros correctos para priorizar los errores y reducir sus cargas de trabajo.
Sin embargo , el informe también encontró vulnerabilidades críticas o de alta gravedad en solo el 15 por ciento de las correcciones disponibles, que se cargan en tiempo de ejecución. Al examinar los paquetes de software vulnerables que están realmente en uso, los equipos organizacionales pueden enfocarse en el subconjunto más pequeño de vulnerabilidades reparables que representan un riesgo real. Reducir la cantidad de vulnerabilidades entre un 85 % y un 15 % proporciona a los equipos de seguridad cibernética números más procesables.
El 90 % de los permisos autorizados no se utilizan: los principios de Zero Trust Architecture enfatizan que las organizaciones deben evitar otorgar permisos de acceso demasiado amplios. Según los datos del informe, el 90% de los permisos no se utilizan. Si un atacante toma las credenciales de una identidad con acceso privilegiado o permisos excesivos, tiene las "llaves del cielo" en entornos de nube.
El 59 % de los contenedores no tenían un límite de CPU definido, y el 69 % de los recursos de CPU solicitados no se utilizaron: sin información de utilización en un entorno de Kubernetes, los desarrolladores no pueden determinar dónde están sobreasignados o infraasignados sus recursos de nube . Las organizaciones de todos los tamaños pueden gastar en exceso en un 40 % y, para implementaciones a gran escala, la optimización del entorno puede ahorrar un promedio de $10 millones en facturas de la nube.
El 72 % de los contenedores viven menos de cinco minutos: recopilar información para solucionar problemas después de que un contenedor desaparece es casi imposible, y la vida útil de los contenedores ha disminuido en un 28 % este año . Esta reducción refleja la madurez de las organizaciones en el uso de la orquestación de contenedores, lo que enfatiza la necesidad de una seguridad acorde con la naturaleza efímera de la nube.
"Mirando hacia atrás en el informe del año pasado, la adopción de contenedores continúa madurando, como lo demuestra la reducción de los ciclos de vida de los contenedores. Sin embargo, las configuraciones incorrectas y las vulnerabilidades aún plagan los entornos en la nube, mientras que las cadenas de suministro aumentan las preocupaciones de seguridad. La gestión de privilegios es otra área en la que me gustaría ver la gente sea más estricta", dijo Michael Isbitski, director de estrategia de seguridad cibernética en Sysdig. Adoptar estas prácticas en nuestros informes, como observar las exposiciones reales al riesgo para comprender el riesgo real y priorizar las vulnerabilidades que tienen un impacto real en el negocio".
en conclusión
Nuestra investigación muestra que, a pesar del conocimiento de las herramientas necesarias y los beneficios de un enfoque de confianza cero, los procesos de seguridad en la nube aún van a la zaga del rápido ritmo de adopción de la nube. A partir de los datos de clientes del mundo real que estudiamos, hay varias áreas de práctica de seguridad que necesitan mejoras para reducir el riesgo:
Gestión de acceso e identidad : la gran discrepancia entre los permisos concedidos y los necesarios subraya la urgencia de medir y gestionar los permisos con regularidad para reducir las oportunidades de ataque.
Gestión de vulnerabilidades : dado que la mayoría de las imágenes de contenedores se ejecutan en producción con un riesgo de vulnerabilidades, los equipos deben abordar la sobrecarga de imágenes y centrar sus esfuerzos de remediación priorizando las vulnerabilidades en función del riesgo de tiempo de ejecución real.
· Detección y respuesta : los ataques de escalada de privilegios y evasión de defensa están en la parte superior de las listas de verificación de amenazas de nuestros clientes. Para mantenerse al día con el panorama de amenazas en constante cambio, las reglas de detección de amenazas deben actualizarse periódicamente para detectar actividades maliciosas.
Aparte de la seguridad, los datos de este año muestran que las organizaciones pueden reducir los costos de la nube al deshacerse de los recursos de Kubernetes no utilizados. Invertir tiempo en la planificación de la capacidad puede dar grandes frutos. Al implementar límites adecuados de recursos de contenedores y monitoreo continuo, las organizaciones podrán optimizar los costos sin comprometer el rendimiento de la aplicación.
Las tendencias clave en nuestro sexto informe anual destacan el crecimiento continuo de los entornos de contenedores y la creciente dependencia de las soluciones de código abierto que necesitamos para estabilizarlos y protegerlos. Existe un mercado creciente de herramientas automatizadas y escalables diseñadas para la nube y los contenedores que pueden ayudar a los equipos a detectar amenazas y riesgos de manera más efectiva, evitar oportunidades perdidas, enfocarse en acciones con el mayor impacto y evitar pérdidas de tiempo.
Desplazamiento de la seguridad hacia la izquierda: práctica de seguridad nativa de la nube de Lingqueyun ACP
En términos de estrategias de seguridad nativas de la nube, Sysdig cree que el núcleo de la protección de seguridad nativa de la nube radica en las reglas. Tanto la definición como el mantenimiento de las reglas requieren que el personal de seguridad las defina y mantenga en función de sus propias reglas de política de seguridad. Debido a la personalización de las reglas, es posible que se eludan las reglas. Solo cuando se integran en el entorno de producción con diferentes condiciones específicas, el El equipo de operaciones de seguridad continuará Solo mediante el uso de una variedad de métodos de detección para realizar una validación cruzada y formar un circuito cerrado, puede realmente desempeñar un papel de manera efectiva.
Lingqueyun también se adhiere a la misma estrategia de seguridad en la práctica de seguridad nativa de la nube. Con el fin de ayudar mejor a los usuarios empresariales a realizar la transición sin problemas de la transformación nativa de la nube y la transformación digital completa, Lingqueyun siempre pone la seguridad de los productos y servicios en primer lugar, sigue el principio de diseño de "desplazamiento a la izquierda" de la seguridad y construye un red sólida a través de los siguientes puntos línea de defensa de seguridad nativa de la nube:
· Perfecta política de seguridad del usuario
Para garantizar la seguridad del inicio de sesión del usuario, Lingqueyun ACP admite la configuración de políticas de seguridad del usuario, incluida la seguridad de la contraseña, la prohibición del usuario, el bloqueo del usuario, la notificación de la contraseña, el control de acceso y otras políticas. Mejore la seguridad de los usuarios de la plataforma y reduzca el riesgo de ataques maliciosos.
· Gobernanza de seguridad de TI orientada a servicios
Admita escenarios de administración de múltiples inquilinos para pequeñas y medianas empresas, realice un control de autoridad detallado y un gobierno de TI de autoservicio; unifique la administración y el monitoreo de recursos en diferentes entornos de infraestructura y garantice la seguridad del sistema a través de un mecanismo de auditoría de seguridad.
· DevSecOps de todo el ciclo de vida
Garantice la seguridad a lo largo de todo el ciclo de vida de la aplicación; automatice la protección de seguridad para proteger el entorno y los datos en general; al mismo tiempo, garantice la seguridad configurando políticas de seguridad (como políticas de análisis de vulnerabilidad de imágenes y políticas de análisis de seguridad de código) durante la compilación/ proceso de prueba/implementación Seguridad en toda la aplicación; garantiza que las organizaciones entreguen software más seguro mediante la automatización de estándares de calidad de seguridad uniformes; admite la integración de escáneres de seguridad para contenedores.
En términos de práctica, tome un gran banco nacional como ejemplo. La plataforma de contenedores en la nube de pila completa del banco es un motor importante que impulsa la construcción de la infraestructura digital financiera. El concepto DevSecOps realiza seguridad adaptativa de ciclo de vida completo a nivel empresarial, sistema de TI inteligente detección, administración confiable de seguridad de contenedores, proceso ágil de DevSecOps y evaluación de riesgos de seguridad de confianza cero, lo que mejora en gran medida la inmunidad a los riesgos de seguridad de sus sistemas comerciales.
