业务云原生架构、推荐系统以及线上生活等热点方向的高可用高性能业务架构有哪些?点击了解 了解详情
写点什么

Sysdig 报告给出容器安全左移和去 Docker 化趋势

2021 年 2 月 04 日

Sysdig报告给出容器安全左移和去Docker化趋势

Sysdig 2021容器安全和使用现状报告》强调指出了容器安全左移的趋势。此外,报告中分析的镜像在基本安全设置(provision)上依然存在不足之处。

 

Sysdig 报告所收集的数据,来自于对其客户日常使用的数百万容器的分析。其中包括一些基于 Nginx、Go、PostgreSQL 的容器,以及其它许多可用的容器镜像。

 

在安全领域中,左移(shift left)意味着团队在开发周期的早期就考虑了架构选取和设计选项中的安全隐患。

 

分析报告强调的一个趋势是许多公司的安全左移已经扩展到了 Kubernetes 的安全方面,有四分之三组织在 CI/CD 中,会在部署的构建阶段之前就对其容器映像进行安全扫描。

 

Sysdig 报告指出,对镜像进行扫描是确保任何来源镜像都能安全的关键。事实上,该报告所扫描的镜像中,约有 55%至少发现了一种高危甚至更严重的漏洞。

 

不幸的是,不当的镜像配置,会抵消安全左移这一积极趋势。Sysdig 报告具体指出,58%的容器仍以 root 用户身份运行,尽管其中只有少数几个容器的运行的确需要 root 特权。

 

随着容器环境的成熟,组织意识到仅做镜像扫描是不够的。为应对持续变化的威胁,还需要考虑运行时安全性。

 

除了以 root 用户身份运行容器,Sysdig 报告还发现了其他一些违反运行时策略的行为,包括写入“/etc”和“/”目录下的文件、使用 Shell 终端作为容器的入口点、修改敏感系统文件等。

 

对于运行时安全工具,Sysdig 报告指出 CNCF(Cloud Native Computing FoundationFalco项目正得到越来越多的采用。Falco 最初是由 Sysdig 创建的项目,后捐赠给CNCF。Falco 通过分析 Linux 系统调用,包括使用特权容器达到特权升级、所有权和模式的更改、对 execve 和 shell 及 SSH 的使用情况等,实现异常行为检测。但是,开展运行时分析是十分困难的,因为许多容器的生命周期非常有限,不足向许多监视工具提供详细的信息。例如,近 49%的容器生命周期小于 5 分钟,其中甚至有 21%容器的生命周期小于 10 秒。

 

Sysdig 报告强调的另一个趋势是,containerdCRI-O正替代 Docker 成为首选。考虑到 Docker 引擎的发展,体现出这一趋势并不意外:

 

Docker 引擎以前同时提供高层和低层运行时功能,现已分解为单独的 containerd 和 runc 项目。

 

Kubernetes正式宣布将于下半年弃用Docker,这也验证了去 Docker 化的趋势。另一方面,在 OpenShift 平台上,以 Kubernetes 做为编排器或可用选项处于遥遥领先的地位。

 

《Sysdig 2021 容器安全和使用现状报告》还提供了更丰富的内容,不在此一一列出。欢迎查看报告全文。

 

原文链接: 

Sysdig: Container Security Shifting Left, Docker Usage Shrinking

2021 年 2 月 04 日 13:321336

评论

发布
暂无评论
发现更多内容

凡尔赛一波!年后开始备战,面美团、字节、腾讯,最终成功入职字节跳动!

程序员小毕

Java 编程 程序员 架构 面试

打卡第一次

容光

办公自动化

优化自动化测试流程,使用 flask 开发一个 toy jenkins工具

和牛

Python 软件测试

Python DataTime 日期处理

HoneyMoose

数字化“翻译官”

boshi

数字化 七日更

Elasticsearch 近实时搜索 Near Real-Time Search

escray

elastic 28天写作 死磕Elasticsearch 60天通过Elastic认证考试 3月日更

Python 日期格式和时间以及当前时间和时间戳

HoneyMoose

​Web攻击怎么办?安全防护有方案

浪潮云

安全

跳表

一个大红包

3月日更

Oracle中我们什么时候需要用到定时任务?

xiezhr

oracle 定时任务 存储过程

基于SparkMLlib智能课堂教学评价系统的设计与实现(一)

大数据技术指南

大数据 spark 智能时代 28天写作 3月日更

Wireshark数据包分析学习笔记Day9

穿过生命散发芬芳

Wireshark 数据包分析 3月日更

互联网信贷风险与大数据 存量管理

张老蔫

28天写作

优雅编程 | Javascript闭包的4种高级用法

devpoint

闭包 防抖 节流 闭包要点

css高度坍塌与清除浮动

依旧廖凯

28天挑战 3月日更

微服务学习笔记

lenka

3月日更

(28DW-S8-Day21) 《流程型组织》学习笔记:「客户第一」还是「老板第一」

mtfelix

28天写作 流程型组织

啥?用了并行流还更慢了

L

Java

什么样的技术能进入一线大厂?这份阿里、百度、腾讯等 20家Java岗招聘要求梳理报告,会给你答案;

Java架构师迁哥

【办公自动化】打卡示范

IT蜗壳-Tango

办公自动化 3月日更 IT蜗壳教学

虚拟路由器冗余协议 VRRP 详解

十四五重头戏的工业互联网,为什么需要IP化先行

脑极体

读书笔记:我的安全世界观

架构精进之路

安全 #读书 3月日更

Lex Fridman: How to learn and master a new skill 简评

teoking

Elasticsearch Document 写入原理

escray

elastic 28天写作 死磕Elasticsearch 60天通过Elastic认证考试

「Linux」网络配置大揭秘

我是程序员小贱

3月日更

LeetCode题解:91. 解码方法,动态规划,JavaScript,详细注释

Lee Chen

算法 LeetCode 前端进阶训练营

算法攻关 - 重上到下打印二叉树 (O(n))_offer32

小诚信驿站

刘晓成 小诚信驿站 28天写作 算法攻关 从上到下打印二叉树

飞行汽车到底能不能普及?

石云升

思维方式 科技革命 28天写作 3月日更

一名MindSpore新手的爬坑记录~~

依旧廖凯

28天挑战 3月日更

原来我还有网络天赋

叫练

网络 交换机

openEuler Developer Day 2021

openEuler Developer Day 2021

Sysdig报告给出容器安全左移和去Docker化趋势-InfoQ