写点什么

Kubernetes 调查报告:配置不当可能导致安全问题

  • 2023-03-01
    北京
  • 本文字数:1215 字

    阅读完需:约 4 分钟

Kubernetes 调查报告:配置不当可能导致安全问题

Kubernetes 软件提供商 Fairwinds 发布了2023年Kubernetes基准报告。该报告显示,在参与调查的组织中存在配置问题不断恶化的总体趋势。这包括以下几类工作负载的增加:允许 root 访问的、未设置内存限制的和受镜像漏洞影响的。

 

去年,该报告发现,总体而言,只有不到 10%的工作负载受到不良或不当配置的影响。今年他们发现,这种情况已经蔓延到可靠性、安全性和成本治理等更多领域。该报告提出了一些假设,解释了为什么工作负载配置的总体趋势会逐年变差:


很明显,DevOps 团队数量不足。作为社区,我们需要做得更好,以便为他们提供支持。随着 Kubernetes 使用范围的扩大,DevOps 管理新团队引入配置风险的难度增加了。

 

该报告调查了数百家组织的超过 15 万个工作负载。他们发现,允许 root 访问的工作负载比去年增加了 22 个百分点。他们还发现,可能受镜像漏洞影响的工作负载有所增加,其中有 25%的组织,他们 90%的工作负载都面临此类风险。与去年的报告相比,这增加了 200%以上。

 

这令人担忧,因为Orca Security最近的一份报告发现,平均攻击路径只需三步就可以到达业务关键数据或资产。根权限与潜在的镜像漏洞(如 log4j)提供了初始入口点。Orca Security 的报告显示,78%的攻击路径使用已知漏洞(CVE)作为初始访问点。

 

Fairwinds 的报告确实发现,与没有护栏的组织相比,采用左移方法或在部署时实现 Kubernetes 护栏的组织能够多纠正 36%的 CPU 和内存配置缺失问题。此外,使用护栏的组织比没有使用护栏的组织多纠正了 15%的镜像漏洞。

 

Fairwinds 营销副总裁Danielle Cook解释道:“随着 Kubernetes 使用范围的扩大,DevOps 团队管理新团队引入配置风险的难度增加了。”让这个问题更加复杂的是确定哪个团队负责构建这些护栏,并确保配置是正确的。Armo的一项调查发现,58%的受访者认为,DevSecOps 团队应该是这些解决方案的所有者。该报告还发现,只有 10%的受访者认为他们的团队是处理 Kubernetes 环境安全的专家。

 

许多人都同意,对于团队来说,理解和管理与开发活动、基础设施和工具相关的所有风险变得越来越困难。Syntasso 首席运营官Paula Kennedy分享了这种沉重的认知负荷可能带来的影响:


对于任何试图在复杂的技术领域中航行的人来说,这都是一场持续的斗争。每天都有新工具发布,要了解新功能、评估工具、选择合适的工具,还要了解这些工具之间如何相互交互,以及如何将它们融入你的技术栈,这是一项非常困难的活动。

 

Fairwinds 报告指出,护栏或铺好的路(paved paths)可以帮助团队遵循最佳实践。正如 Kennedy 所言,这些方法有助于“简少工具数量,减少选项过多所带来的认知负荷,以及减轻平台的技术膨胀。”

 

要了解有关 Fairwinds 2023 年 Kubernetes 基准报告的更多内容,请直接访问Fairwinds网站

 

原文链接:

https://www.infoq.com/news/2023/01/kubernetes-poorly-configured/


相关阅读:

如何用 Prometheus 和 Grafana 监控 Kubernetes 集群?

关于 NGINX Kubernetes Gateway,你需要知道的 5 件事

Kubernetes 安全防护终极指南

2023-03-01 08:008293

评论

发布
暂无评论
发现更多内容

终端Terminal:程序员是如何查询天气预报的?

lmymirror

GitHub 工具 命令行 terminal 终端工具

企业招聘的需求决定了C/C++程序员的学习方向

C语言技术网-码农有道

C/C++

新人怎么寻求解决问题的方法

波波

编程 职场 新人

职场发展的思考

子不语

生涯规划 职业规划

断章取义,不一样的C/C++语言的学习策略

C语言技术网-码农有道

C/C++

Linux初学-01

Flychen

零基础、非计算机相关专业的如何转型程序员

C语言技术网-码农有道

程序员 转型

LeetCode 153. Find Minimum in Rotated Sorted Array

隔壁小王

算法

中年危机,我们如何面对?

石云升

死磕Java并发编程(8):CurrentHashMap如何实现高效地线程安全?在Java8中有哪些设计实现的演进?

Seven七哥

Java Java并发 ConcurrentHashMap

生活不奖赏心血来潮

池建强

个人成长 写作

Python 中怎样合并数据

张利东

Python

LeetCode 565: Array Nesting

隔壁小王

算法

1分钟理解M2M和IoT概念

老任物联网杂谈

物联网 M2M IoT

面试考试可用,十大排序算法

我不自豪谁志豪

学习 面试 算法

从2009到2020,世界编程语言排行榜分析

C语言技术网-码农有道

编程语言

SpringIOC源码篇-Bean实例化-Spring如何选择类构造器(1)

申屠鹏会

Java Spring Boot

Centos的初步配置

玉龙BB

Docker Linux Docker-compose Centos 7

如何消除写作过程中的痛苦,让写作变成一种享受

董一凡

写作

DataGrip常用快捷键

fliter

IT培训机构那些不得不说的事儿

C语言技术网-码农有道

IT培训机构

产品周刊 | 第 13 期(20200503)

八味阁

产品 设计 产品经理 产品设计

原创 | 类应该是匀称和均匀的

编程道与术

原创 | 使用JUnit、AssertJ和Mockito编写单元测试和实践TDD (一)什么是单元测试

编程道与术

早起实操手册

超超不会飞

效率 生活 自律

从草根到百万年薪C/C++程序员的二十年风雨之路

C语言技术网-码农有道

c++ 编程语言 C语言

我们迫切需要块状时间

Neco.W

效率 时间分配 时间管理 工作效率 提升效率

聊聊我对开源的理解

zygfengyuwuzu

开源

NIO 看破也说破(二)—— Java 中的两种BIO

小眼睛聊技术

Java 学习 程序员 架构 编程语言

Netty 源码解析(六): Channel 的 register 操作

猿灯塔

部署Hexo博客到VPS

ini

Kubernetes 调查报告:配置不当可能导致安全问题_容器_Matt Campbell_InfoQ精选文章