【FCon】聚焦金融行业在数智化的全面革新,一线的金融数智化实践干货 了解详情
写点什么

Sysdig 报告给出容器安全左移和去 Docker 化趋势

  • 2021-02-04
  • 本文字数:1039 字

    阅读完需:约 3 分钟

Sysdig报告给出容器安全左移和去Docker化趋势

6 月 17 日,极客时间《企业级 Agents 开发实战营》正式上线,10 周掌握企业级 Agents 从设计、开发到部署全流程。

Sysdig 2021容器安全和使用现状报告》强调指出了容器安全左移的趋势。此外,报告中分析的镜像在基本安全设置(provision)上依然存在不足之处。

 

Sysdig 报告所收集的数据,来自于对其客户日常使用的数百万容器的分析。其中包括一些基于 Nginx、Go、PostgreSQL 的容器,以及其它许多可用的容器镜像。

 

在安全领域中,左移(shift left)意味着团队在开发周期的早期就考虑了架构选取和设计选项中的安全隐患。

 

分析报告强调的一个趋势是许多公司的安全左移已经扩展到了 Kubernetes 的安全方面,有四分之三组织在 CI/CD 中,会在部署的构建阶段之前就对其容器映像进行安全扫描。

 

Sysdig 报告指出,对镜像进行扫描是确保任何来源镜像都能安全的关键。事实上,该报告所扫描的镜像中,约有 55%至少发现了一种高危甚至更严重的漏洞。

 

不幸的是,不当的镜像配置,会抵消安全左移这一积极趋势。Sysdig 报告具体指出,58%的容器仍以 root 用户身份运行,尽管其中只有少数几个容器的运行的确需要 root 特权。

 

随着容器环境的成熟,组织意识到仅做镜像扫描是不够的。为应对持续变化的威胁,还需要考虑运行时安全性。

 

除了以 root 用户身份运行容器,Sysdig 报告还发现了其他一些违反运行时策略的行为,包括写入“/etc”和“/”目录下的文件、使用 Shell 终端作为容器的入口点、修改敏感系统文件等。

 

对于运行时安全工具,Sysdig 报告指出 CNCF(Cloud Native Computing FoundationFalco项目正得到越来越多的采用。Falco 最初是由 Sysdig 创建的项目,后捐赠给CNCF。Falco 通过分析 Linux 系统调用,包括使用特权容器达到特权升级、所有权和模式的更改、对 execve 和 shell 及 SSH 的使用情况等,实现异常行为检测。但是,开展运行时分析是十分困难的,因为许多容器的生命周期非常有限,不足向许多监视工具提供详细的信息。例如,近 49%的容器生命周期小于 5 分钟,其中甚至有 21%容器的生命周期小于 10 秒。

 

Sysdig 报告强调的另一个趋势是,containerdCRI-O正替代 Docker 成为首选。考虑到 Docker 引擎的发展,体现出这一趋势并不意外:

 

Docker 引擎以前同时提供高层和低层运行时功能,现已分解为单独的 containerd 和 runc 项目。

 

Kubernetes正式宣布将于下半年弃用Docker,这也验证了去 Docker 化的趋势。另一方面,在 OpenShift 平台上,以 Kubernetes 做为编排器或可用选项处于遥遥领先的地位。

 

《Sysdig 2021 容器安全和使用现状报告》还提供了更丰富的内容,不在此一一列出。欢迎查看报告全文。

 

原文链接: 

Sysdig: Container Security Shifting Left, Docker Usage Shrinking

2021-02-04 13:322010

评论

发布
暂无评论
发现更多内容

架构误区系列10:不合理的分层

agnostic

软件分层

【IntelliJ IDEA】连接https报错问题: E230001: Server SSL certificate verification failed:

No8g攻城狮

svn IDEA

基于Go的缓存实现

俞凡

架构

2022年浪过的那些城市

SAP虾客

杭州 2022年 无锡 东莞 SAP项目

架构训练营模块三作业

张建闯

架构实战营

数据可视化图表系列解析——饼图

Data 探险实验室

数据分析 可视化 数据可视化 可视化数据 可视化工具

HTTP请求首部字段

穿过生命散发芬芳

HTTP 12月月更

FFA 2022 主会场 Keynote:Flink Towards Streaming Data Warehouse

Apache Flink

大数据 flink 实时计算

运维进阶训练营 -W09H

赤色闪电

运维

spaa 22

黄敏

如何使用YonBuilder进行报表分析?

YonBuilder低代码开发平台

Web入门:CSS下拉图片

小院里的霍大侠

JavaScript Web 初学者 入门者

【web 开发基础】PHP 中的预定义数组详解续集 (48)

迷彩

post GET 文件上传 PHP基础 预定义数组

安卓、iOS、小游戏三端同发?介绍给你一个新方式 - 普洱WebGL

僵尸浩

typescript 小游戏 Unity3D

数据库原理及MySQL应用 | 约束

TiAmo

主键约束 数据库· 12月月更

启科QuSaaS真随机数解决方案与Amazon Braket结合实践

启科量子开发者官方号

人工智能 量子计算 随机数

学生管理系统

KING

架构实战营 3-4 架构设计后期随堂练习

西山薄凉

「架构实战营」

2022-12-25:etcd可以完全替代zookeeper,原因是k8s用的etcd,不用担心不成熟。请问etcd部署在k3s中,yaml如何写?

福大大架构师每日一题

云原生 k8s etcd k3s 福大大

银行如何快速落地营销数字化?

中关村科金

人工智能 大数据 AI 数字化转型 数字化

OpenTelemetry系列 (四)| 如何使用Java Agent来实现无侵入的调用链

骑牛上青山

Java javaagent 调用链 OpenTelemetry 微服务调用链

Web入门开发【二】

小院里的霍大侠

编程开发 初学者 入门实战 Web入门

Web入门开发【四】

小院里的霍大侠

Web 编程开发 初学者 入门实战

【架构设计】你的类足够“专一”吗

JAVA旭阳

Java 架构

一文告诉你如何选择低代码供应商?

YonBuilder低代码开发平台

一文读懂什么是低代码开发?

YonBuilder低代码开发平台

SRE运维解密-应对过载

董哥的黑板报

微服务 SRE 限流 SRE实践

架构实战营 3-5 消息队列备选架构随堂练习

西山薄凉

「架构实战营」

优化器核心技术—Join Reorder

KaiwuDB

【IntelliJ IDEA】idea 2018版本中没有SVN按钮或者图标的解决方法

No8g攻城狮

svn IDEA git 学习

SDK更新不了问题解决

芯动大师

android hosts SDK 教程

Sysdig报告给出容器安全左移和去Docker化趋势_容器_Sergio De Simone_InfoQ精选文章