QCon 演讲火热征集中,快来分享技术实践与洞见! 了解详情
写点什么

Sysdig 报告给出容器安全左移和去 Docker 化趋势

  • 2021-02-04
  • 本文字数:1039 字

    阅读完需:约 3 分钟

Sysdig报告给出容器安全左移和去Docker化趋势

Sysdig 2021容器安全和使用现状报告》强调指出了容器安全左移的趋势。此外,报告中分析的镜像在基本安全设置(provision)上依然存在不足之处。

 

Sysdig 报告所收集的数据,来自于对其客户日常使用的数百万容器的分析。其中包括一些基于 Nginx、Go、PostgreSQL 的容器,以及其它许多可用的容器镜像。

 

在安全领域中,左移(shift left)意味着团队在开发周期的早期就考虑了架构选取和设计选项中的安全隐患。

 

分析报告强调的一个趋势是许多公司的安全左移已经扩展到了 Kubernetes 的安全方面,有四分之三组织在 CI/CD 中,会在部署的构建阶段之前就对其容器映像进行安全扫描。

 

Sysdig 报告指出,对镜像进行扫描是确保任何来源镜像都能安全的关键。事实上,该报告所扫描的镜像中,约有 55%至少发现了一种高危甚至更严重的漏洞。

 

不幸的是,不当的镜像配置,会抵消安全左移这一积极趋势。Sysdig 报告具体指出,58%的容器仍以 root 用户身份运行,尽管其中只有少数几个容器的运行的确需要 root 特权。

 

随着容器环境的成熟,组织意识到仅做镜像扫描是不够的。为应对持续变化的威胁,还需要考虑运行时安全性。

 

除了以 root 用户身份运行容器,Sysdig 报告还发现了其他一些违反运行时策略的行为,包括写入“/etc”和“/”目录下的文件、使用 Shell 终端作为容器的入口点、修改敏感系统文件等。

 

对于运行时安全工具,Sysdig 报告指出 CNCF(Cloud Native Computing FoundationFalco项目正得到越来越多的采用。Falco 最初是由 Sysdig 创建的项目,后捐赠给CNCF。Falco 通过分析 Linux 系统调用,包括使用特权容器达到特权升级、所有权和模式的更改、对 execve 和 shell 及 SSH 的使用情况等,实现异常行为检测。但是,开展运行时分析是十分困难的,因为许多容器的生命周期非常有限,不足向许多监视工具提供详细的信息。例如,近 49%的容器生命周期小于 5 分钟,其中甚至有 21%容器的生命周期小于 10 秒。

 

Sysdig 报告强调的另一个趋势是,containerdCRI-O正替代 Docker 成为首选。考虑到 Docker 引擎的发展,体现出这一趋势并不意外:

 

Docker 引擎以前同时提供高层和低层运行时功能,现已分解为单独的 containerd 和 runc 项目。

 

Kubernetes正式宣布将于下半年弃用Docker,这也验证了去 Docker 化的趋势。另一方面,在 OpenShift 平台上,以 Kubernetes 做为编排器或可用选项处于遥遥领先的地位。

 

《Sysdig 2021 容器安全和使用现状报告》还提供了更丰富的内容,不在此一一列出。欢迎查看报告全文。

 

原文链接: 

Sysdig: Container Security Shifting Left, Docker Usage Shrinking

2021-02-04 13:322220

评论

发布
暂无评论
发现更多内容

TikTok矩阵怎么玩?

Ogcloud

云手机 tiktok云手机 tiktok运营 TikTok养号 tiktok矩阵

spring-关于组件的注入及获取流程

EquatorCoco

Java spring 后端

鸿蒙开发实战:轻松配置多环境目录,实现高效应用部署

王二蛋和他的张大花

鸿蒙

Robotaxi三国杀

脑洞汽车

AI

90后斩获多家名企offer的小哥哥,做对了什么?

霍格沃兹测试开发学社

别再被多线程搞晕了!一篇文章轻松搞懂 Linux 多线程同步!

快乐非自愿限量之名

Linux 多线程

鸿蒙开发实战:深度解析网络管理技巧与实战应用

王二蛋和他的张大花

鸿蒙

深入理解 Fixture 作为参数使用的技巧:提升测试代码的灵活性和复用性

测吧(北京)科技有限公司

测试

61支队伍入围!用友第六届企业数智化应用开发大赛决赛名单公布

新消费日报

从消息中间件架构发展趋势,探讨物联网平台如何支持亿级设备推送?

华为云开发者联盟

IoT Apache Pulsar 消息中间件 华为云IoTDA

Pytest 并行与分布式运行测试用例的实现与优化

测吧(北京)科技有限公司

测试

探索微店API接口:如何高效获取商品详情数据

代码忍者

API 接口 pinduoduo API

全链路压力测试:确保系统在高负载下的稳定性与响应能力

测吧(北京)科技有限公司

测试

鸿蒙开发实战:灵活定制编译选项,打造高效应用

王二蛋和他的张大花

鸿蒙

Pytest-ordering:自定义 Pytest 测试用例执行顺序的指南

测吧(北京)科技有限公司

测试

Pytest 内置插件 Hook 体系:深入了解与实践

测吧(北京)科技有限公司

测试

全面升级的“新清影”,给AI生成视频带来了哪些新玩法?

Alter

和鲸社区地球科学轻科研交流局:在这个卷来卷去的时代,我们都想要找到一些答案

ModelWhale

数据科学 气象 地球科学 DDE 深时数字地球 大气

全国数据标准化技术委员会成立,企业该对数据”下狠手”了

用友BIP

利用外部数据源 JSON 管理测试:灵活的数据驱动测试方法

测吧(北京)科技有限公司

测试

载誉而归!天翼云荣获第23届中国IT用户满意度大会多项殊荣

天翼云开发者社区

云计算 IT 云服务

重磅发布 | 末等调整和不胜任退出数智化解决方案

用友BIP

鸿蒙开发实战:智能日志定位与高效调试技巧

王二蛋和他的张大花

鸿蒙

C# 单例模式的多种实现

不在线第一只蜗牛

JavaScript C#

企业应推动数据全生命周期运营,充分释放数据价值

用友BIP

推理王者o1到底怎么落地?

脑极体

AI

机器学习与AI|如何利用数据科学优化库存周转率?

Altair RapidMiner

人工智能 数据分析 altair RapidMiner

为什么真全闪分布式存储离不开 RoCE/RDMA 流控技术?

XSKY星辰天合

#分布式存储 流控技术

利用外部数据源 CSV 管理测试:轻量化数据驱动测试方案

测吧(北京)科技有限公司

测试

深入理解 fixture 的作用范围:优化测试环境的管理

测吧(北京)科技有限公司

测试

深入理解 yield 用法:从生成器到高级测试场景的应用

测吧(北京)科技有限公司

测试

Sysdig报告给出容器安全左移和去Docker化趋势_容器_Sergio De Simone_InfoQ精选文章