AI 年度盘点与2025发展趋势展望,50+案例解析亮相AICon 了解详情
写点什么

Kubernetes 调查报告:配置不当可能导致安全问题

  • 2023-03-01
    北京
  • 本文字数:1215 字

    阅读完需:约 4 分钟

Kubernetes 调查报告:配置不当可能导致安全问题

Kubernetes 软件提供商 Fairwinds 发布了2023年Kubernetes基准报告。该报告显示,在参与调查的组织中存在配置问题不断恶化的总体趋势。这包括以下几类工作负载的增加:允许 root 访问的、未设置内存限制的和受镜像漏洞影响的。

 

去年,该报告发现,总体而言,只有不到 10%的工作负载受到不良或不当配置的影响。今年他们发现,这种情况已经蔓延到可靠性、安全性和成本治理等更多领域。该报告提出了一些假设,解释了为什么工作负载配置的总体趋势会逐年变差:


很明显,DevOps 团队数量不足。作为社区,我们需要做得更好,以便为他们提供支持。随着 Kubernetes 使用范围的扩大,DevOps 管理新团队引入配置风险的难度增加了。

 

该报告调查了数百家组织的超过 15 万个工作负载。他们发现,允许 root 访问的工作负载比去年增加了 22 个百分点。他们还发现,可能受镜像漏洞影响的工作负载有所增加,其中有 25%的组织,他们 90%的工作负载都面临此类风险。与去年的报告相比,这增加了 200%以上。

 

这令人担忧,因为Orca Security最近的一份报告发现,平均攻击路径只需三步就可以到达业务关键数据或资产。根权限与潜在的镜像漏洞(如 log4j)提供了初始入口点。Orca Security 的报告显示,78%的攻击路径使用已知漏洞(CVE)作为初始访问点。

 

Fairwinds 的报告确实发现,与没有护栏的组织相比,采用左移方法或在部署时实现 Kubernetes 护栏的组织能够多纠正 36%的 CPU 和内存配置缺失问题。此外,使用护栏的组织比没有使用护栏的组织多纠正了 15%的镜像漏洞。

 

Fairwinds 营销副总裁Danielle Cook解释道:“随着 Kubernetes 使用范围的扩大,DevOps 团队管理新团队引入配置风险的难度增加了。”让这个问题更加复杂的是确定哪个团队负责构建这些护栏,并确保配置是正确的。Armo的一项调查发现,58%的受访者认为,DevSecOps 团队应该是这些解决方案的所有者。该报告还发现,只有 10%的受访者认为他们的团队是处理 Kubernetes 环境安全的专家。

 

许多人都同意,对于团队来说,理解和管理与开发活动、基础设施和工具相关的所有风险变得越来越困难。Syntasso 首席运营官Paula Kennedy分享了这种沉重的认知负荷可能带来的影响:


对于任何试图在复杂的技术领域中航行的人来说,这都是一场持续的斗争。每天都有新工具发布,要了解新功能、评估工具、选择合适的工具,还要了解这些工具之间如何相互交互,以及如何将它们融入你的技术栈,这是一项非常困难的活动。

 

Fairwinds 报告指出,护栏或铺好的路(paved paths)可以帮助团队遵循最佳实践。正如 Kennedy 所言,这些方法有助于“简少工具数量,减少选项过多所带来的认知负荷,以及减轻平台的技术膨胀。”

 

要了解有关 Fairwinds 2023 年 Kubernetes 基准报告的更多内容,请直接访问Fairwinds网站

 

原文链接:

https://www.infoq.com/news/2023/01/kubernetes-poorly-configured/


相关阅读:

如何用 Prometheus 和 Grafana 监控 Kubernetes 集群?

关于 NGINX Kubernetes Gateway,你需要知道的 5 件事

Kubernetes 安全防护终极指南

2023-03-01 08:008357

评论

发布
暂无评论
发现更多内容

wxPython界面设计初体验-值得学习的 Python GUI 库 (2)

迷彩

GUI 7月月更 WxPython

什么时候会触发fullGC

技术小生

JVM GC 7月月更

小程序页面介绍

小恺

7月月更

模块六作业 - 拆分电商系统为微服务

Elvis FAN

Python 入门指南之输入和输出

海拥(haiyong.site)

7月月更

Java基础:IO流最全汇总

百思不得小赵

io Java’ 7月月更

Cgroup memory子系统

总想做点什么

想要治好水,龙王也要拜拜这朵云

脑极体

IoT物联网安全架构设计方案

明亮安全观

网络安全 IoT IoT安全

Binder驱动

北洋

Andriod 7月月更

深入理解Linux 进程管理之CFS负载均衡

C++后台开发

Linux 负载均衡 C++后台开发 进程管理 C++开发

微信小程序骨架屏的应用与实现步骤

猪痞恶霸

微信小程序 前端 7月月更

携手共建安全生态|海泰方圆正式加入申威产业发展联盟

电子信息发烧客

【刷题记录】5. 最长回文子串

WangNing

7月月更

应用上容器云的准入条件和最佳实践

穿过生命散发芬芳

7月月更 应用上云

PoS机制随机性解读,波卡的随机性原理如何运作?

One Block Community

第三届中国工业互联网大赛在杭州闭幕 第四届大赛即日启动

科技热闻

TCP拥塞控制详解 | 4. 控制算法

俞凡

算法 网络 TCP拥塞控制

新星计划Day2【JavaSE】 枚举类与注解

京与旧铺

7月月更

浅尝了一下TypeScript,上头了!

为自己带盐

typescript 7月月更

彻底清除本地的MySQL数据库

Java学术趴

7月月更

【玩转 RT-Thread】I2C 内核

攻城狮杰森

I2C协议 7月月更 RT-Thread

【C语言】进阶指针Two

謓泽

7月月更

跨域问题之Spring的跨域的方案

急需上岸的小谢

7月月更

去中心化的底层是共识——Polkadot 混合共识机制解读

One Block Community

重新签名 iOS 51启蒙英语 App

贾献华

7月月更

《看完就懂系列》项目中的权限管理复杂吗?

南极一块修炼千年的大冰块

7月月更

【C#】System.Linq,万能的查询语句

萧然🐳

C# 7月月更 Linq

机器学习-异常检测

AIWeker

机器学习 异常检测 7月月更

能源数字化:云厂商的角逐与竞争焦点

脑极体

初始Envoy项目

阿泽🧸

envoy 7月月更

Kubernetes 调查报告:配置不当可能导致安全问题_容器_Matt Campbell_InfoQ精选文章