写点什么

Kubernetes 调查报告:配置不当可能导致安全问题

  • 2023-03-01
    北京
  • 本文字数:1215 字

    阅读完需:约 4 分钟

Kubernetes 调查报告:配置不当可能导致安全问题

Kubernetes 软件提供商 Fairwinds 发布了2023年Kubernetes基准报告。该报告显示,在参与调查的组织中存在配置问题不断恶化的总体趋势。这包括以下几类工作负载的增加:允许 root 访问的、未设置内存限制的和受镜像漏洞影响的。

 

去年,该报告发现,总体而言,只有不到 10%的工作负载受到不良或不当配置的影响。今年他们发现,这种情况已经蔓延到可靠性、安全性和成本治理等更多领域。该报告提出了一些假设,解释了为什么工作负载配置的总体趋势会逐年变差:


很明显,DevOps 团队数量不足。作为社区,我们需要做得更好,以便为他们提供支持。随着 Kubernetes 使用范围的扩大,DevOps 管理新团队引入配置风险的难度增加了。

 

该报告调查了数百家组织的超过 15 万个工作负载。他们发现,允许 root 访问的工作负载比去年增加了 22 个百分点。他们还发现,可能受镜像漏洞影响的工作负载有所增加,其中有 25%的组织,他们 90%的工作负载都面临此类风险。与去年的报告相比,这增加了 200%以上。

 

这令人担忧,因为Orca Security最近的一份报告发现,平均攻击路径只需三步就可以到达业务关键数据或资产。根权限与潜在的镜像漏洞(如 log4j)提供了初始入口点。Orca Security 的报告显示,78%的攻击路径使用已知漏洞(CVE)作为初始访问点。

 

Fairwinds 的报告确实发现,与没有护栏的组织相比,采用左移方法或在部署时实现 Kubernetes 护栏的组织能够多纠正 36%的 CPU 和内存配置缺失问题。此外,使用护栏的组织比没有使用护栏的组织多纠正了 15%的镜像漏洞。

 

Fairwinds 营销副总裁Danielle Cook解释道:“随着 Kubernetes 使用范围的扩大,DevOps 团队管理新团队引入配置风险的难度增加了。”让这个问题更加复杂的是确定哪个团队负责构建这些护栏,并确保配置是正确的。Armo的一项调查发现,58%的受访者认为,DevSecOps 团队应该是这些解决方案的所有者。该报告还发现,只有 10%的受访者认为他们的团队是处理 Kubernetes 环境安全的专家。

 

许多人都同意,对于团队来说,理解和管理与开发活动、基础设施和工具相关的所有风险变得越来越困难。Syntasso 首席运营官Paula Kennedy分享了这种沉重的认知负荷可能带来的影响:


对于任何试图在复杂的技术领域中航行的人来说,这都是一场持续的斗争。每天都有新工具发布,要了解新功能、评估工具、选择合适的工具,还要了解这些工具之间如何相互交互,以及如何将它们融入你的技术栈,这是一项非常困难的活动。

 

Fairwinds 报告指出,护栏或铺好的路(paved paths)可以帮助团队遵循最佳实践。正如 Kennedy 所言,这些方法有助于“简少工具数量,减少选项过多所带来的认知负荷,以及减轻平台的技术膨胀。”

 

要了解有关 Fairwinds 2023 年 Kubernetes 基准报告的更多内容,请直接访问Fairwinds网站

 

原文链接:

https://www.infoq.com/news/2023/01/kubernetes-poorly-configured/


相关阅读:

如何用 Prometheus 和 Grafana 监控 Kubernetes 集群?

关于 NGINX Kubernetes Gateway,你需要知道的 5 件事

Kubernetes 安全防护终极指南

2023-03-01 08:009506

评论

发布
暂无评论
发现更多内容

内推阿里,朋友说让我学会这46道面试题,我不信,现在我后悔了

小Q

Java 学习 编程 架构 面试

架构师训练营 1 期第 10 周:模块分解 - 作业

piercebn

极客大学架构师训练营

年轻人,学好Nginx,走遍天下都不怕

程序员小灰

c++ nginx Linux 服务器 架构师

Mybatis【3】-- Mybatis使用工具类读取配置文件以及从属性读取DB信息

秦怀杂货店

Java 数据库 mybatis

10.4领域驱动设计DDD

张荣召

架构师训练营-week10

睁眼看世界

极客大学架构师训练营

Linux IO模式及 select、poll、epoll详解(含部分实例源码)

linux大本营

c++ Linux 后台开发 异步IO epoll

美团Java面试一轮游,太激烈了,问啥啥不会,我该怎么办?

比伯

Java 编程 架构 面试 计算机

区块链创新中国价值链

CECBC

区块链

C语言常用错误代码释义大全,让你编译运行报错不是烦恼

ShenDu_Linux

编译原理 常见错误

学习总结--week10

张荣召

架构师Week6作业

lggl

作业

Mybatis【2.2】-- Mybatis关于创建SqlSession源码分析的几点疑问?

秦怀杂货店

Java 数据库 mybatis

Mybatis【4】-- 关于Mybatis别名定义

秦怀杂货店

Java mybatis

【Java基础】-- isAssignableFrom的用法详细解析

秦怀杂货店

Java 关键字

第十周总结

睁眼看世界

极客大学架构师训练营

10.2微服务:落地实践的策略与思路

张荣召

架构师训练营第十周学习总结

Gosling

极客大学架构师训练营

码了2000多行代码就是为了讲清楚TLS握手流程

Gopher指北

https 后端 Go 语言

最佳的思维导图生成工具——markmap 使用教程

白色蜗牛

Java 程序员 职场 实用工具

架构师训练营3期第一周学习总结

简简单单

10.7作业

张荣召

JDBC【4】-- SPI底层原理解析

秦怀杂货店

Java 源码 spi

接口测试--接口文档规范

测试人生路

接口文档

架构师训练营第 10 周作业

netspecial

极客大学架构师训练营

10.1微服务:服务本身的设计,维护及治理

张荣召

10.3微服务网关的技术架构

张荣召

10.5软件组件设计原则

张荣召

食堂就餐卡系统UML设计

简简单单

Mybatis【2.3】-- Mybatis一定要使用commit才能成功修改数据么?

秦怀杂货店

Java 数据库 mybatis

食堂就餐卡系统 UML 设计

心晴雨亦晴(~o~)

极客大学架构师训练营

Kubernetes 调查报告:配置不当可能导致安全问题_容器_Matt Campbell_InfoQ精选文章