写点什么

Sysdig 报告给出容器安全左移和去 Docker 化趋势

  • 2021-02-04
  • 本文字数:1039 字

    阅读完需:约 3 分钟

Sysdig报告给出容器安全左移和去Docker化趋势

Sysdig 2021容器安全和使用现状报告》强调指出了容器安全左移的趋势。此外,报告中分析的镜像在基本安全设置(provision)上依然存在不足之处。

 

Sysdig 报告所收集的数据,来自于对其客户日常使用的数百万容器的分析。其中包括一些基于 Nginx、Go、PostgreSQL 的容器,以及其它许多可用的容器镜像。

 

在安全领域中,左移(shift left)意味着团队在开发周期的早期就考虑了架构选取和设计选项中的安全隐患。

 

分析报告强调的一个趋势是许多公司的安全左移已经扩展到了 Kubernetes 的安全方面,有四分之三组织在 CI/CD 中,会在部署的构建阶段之前就对其容器映像进行安全扫描。

 

Sysdig 报告指出,对镜像进行扫描是确保任何来源镜像都能安全的关键。事实上,该报告所扫描的镜像中,约有 55%至少发现了一种高危甚至更严重的漏洞。

 

不幸的是,不当的镜像配置,会抵消安全左移这一积极趋势。Sysdig 报告具体指出,58%的容器仍以 root 用户身份运行,尽管其中只有少数几个容器的运行的确需要 root 特权。

 

随着容器环境的成熟,组织意识到仅做镜像扫描是不够的。为应对持续变化的威胁,还需要考虑运行时安全性。

 

除了以 root 用户身份运行容器,Sysdig 报告还发现了其他一些违反运行时策略的行为,包括写入“/etc”和“/”目录下的文件、使用 Shell 终端作为容器的入口点、修改敏感系统文件等。

 

对于运行时安全工具,Sysdig 报告指出 CNCF(Cloud Native Computing FoundationFalco项目正得到越来越多的采用。Falco 最初是由 Sysdig 创建的项目,后捐赠给CNCF。Falco 通过分析 Linux 系统调用,包括使用特权容器达到特权升级、所有权和模式的更改、对 execve 和 shell 及 SSH 的使用情况等,实现异常行为检测。但是,开展运行时分析是十分困难的,因为许多容器的生命周期非常有限,不足向许多监视工具提供详细的信息。例如,近 49%的容器生命周期小于 5 分钟,其中甚至有 21%容器的生命周期小于 10 秒。

 

Sysdig 报告强调的另一个趋势是,containerdCRI-O正替代 Docker 成为首选。考虑到 Docker 引擎的发展,体现出这一趋势并不意外:

 

Docker 引擎以前同时提供高层和低层运行时功能,现已分解为单独的 containerd 和 runc 项目。

 

Kubernetes正式宣布将于下半年弃用Docker,这也验证了去 Docker 化的趋势。另一方面,在 OpenShift 平台上,以 Kubernetes 做为编排器或可用选项处于遥遥领先的地位。

 

《Sysdig 2021 容器安全和使用现状报告》还提供了更丰富的内容,不在此一一列出。欢迎查看报告全文。

 

原文链接: 

Sysdig: Container Security Shifting Left, Docker Usage Shrinking

2021-02-04 13:322412

评论

发布
暂无评论
发现更多内容

高性能对象池实现

C++后台开发

后端开发 高性能服务器 内存池 对象池 C++开发

设计模式的艺术 第二十一章备忘录设计模式练习(设计一款RPG网游,为了给玩家提供更多方便,在游戏过程中可以设置一个恢复点,用于保存当前的游戏场景。如果在后续游戏过程中玩家角色“不幸牺牲”,可以返回到先前保存的场景,从所设恢复点开始重新游戏)

代廉洁

设计模式的艺术

万物皆可集成系列:低代码如何不成为数据孤岛

葡萄城技术团队

低代码 数据孤岛 集成

建木持续集成平台v2.5.4发布

Jianmu

DevOps 持续集成 gitops 持续部署 Gitea

百余位顶级投资人齐聚无锡,DEMO CHINA创新中国峰会即将揭幕

创业邦

Apache Kyuubi 在小米大数据平台的应用实践

网易数帆

Java hive Apache Spark Thrift kerberos

笔记 | DevOps推动科技管理敏捷转型(文末附PPT)

嘉为蓝鲸

DevOps 运维 敏捷 IT 精益

使用FeatureAbility模块启动其他Ability

白晓明

OpenHarmony应用开发 FeatureAbility

当你的老板站在你背后,看你处理故障......

嘉为蓝鲸

运维 IT 故障 上班

传统单节点网站的Serverless上云

Serverless Devs

盘点适合中小企业的文档管理工具

Baklib

搭建自己的以图搜图系统 (一):10 行代码搞定以图搜图

Zilliz

Python 机器学习 深度学习 相似度分析 以图搜图

浅谈 SAP ABAP 系统里的 ALV 输出方式实现

汪子熙

前端开发 SAP abap 9月月更 ALV

数字藏品系统开发,NFT数字藏品开发说明

开源直播系统源码

软件开发 NFT 数字藏品 数字藏品软件开发 数字藏品系统

C#/VB.NET 设置Word文档段落缩进

在下毛毛雨

C# .net word文档 段落缩进

重拾面向对象软件设计

阿里巴巴中间件

阿里云 技术 中间件 技术代码

数据可视化系列教程|六大组件基础知识

云智慧AIOps社区

大前端 低代码 开源项目 数据可视化 可视化大屏

SpringCloud 注册中心(Nacos)快速入门

nacos SpringCould 9月月更

2022 云原生编程挑战赛启动!看导师如何拆解边缘容器赛题?

阿里巴巴中间件

阿里云 云原生编程挑战赛

看了深入Java虚拟机:JVMG1GC的算法与实现文档,我悟了

程序知音

Java JVM 垃圾回收 java架构 后端技术

UI自动化助力业务效率提升

转转技术团队

UI自动化测试

干货|为什么说开源基金会的选择很关键?(下)

Orillusion

开源 WebGL 元宇宙 webgpu web3d

中移链DDC-SDK技术对接全流程(一)

BSN研习社

极狐GitLab Helm Chart 已上线,玩转云原生极狐GitLab!

极狐GitLab

DevOps gitlab 云原生 Helm Kubernetes, 云原生, eBPF

了解数字机器人最新发展动向,不要错过华为数字机器人秋季发布会​

王吉伟频道

RPA 机器人流程自动化 智慧政务 机器人开发 华为数字机器人

预训练模型在金融 NLP场景下的应用

澜舟孟子开源社区

人工智能 自然语言处理 大规模预训练模型

2022世界人工智能大会•腾讯“智变未来”论坛:聚焦产业升级,数字赋能未来

科技热闻

堡垒机有录像吗?好用吗?有什么作用?

行云管家

网络安全 企业 数据安全 堡垒机 录像

在数字时代,如何选择企业的知识管理软件

Baklib

优秀的产品手册有助于留住你的客户

Baklib

AOSWAP去中心化交易所系统开发功能介绍

开发微hkkf5566

Sysdig报告给出容器安全左移和去Docker化趋势_容器_Sergio De Simone_InfoQ精选文章