写点什么

Kubernetes 调查报告:配置不当可能导致安全问题

  • 2023-03-01
    北京
  • 本文字数:1215 字

    阅读完需:约 4 分钟

Kubernetes 调查报告:配置不当可能导致安全问题

Kubernetes 软件提供商 Fairwinds 发布了2023年Kubernetes基准报告。该报告显示,在参与调查的组织中存在配置问题不断恶化的总体趋势。这包括以下几类工作负载的增加:允许 root 访问的、未设置内存限制的和受镜像漏洞影响的。

 

去年,该报告发现,总体而言,只有不到 10%的工作负载受到不良或不当配置的影响。今年他们发现,这种情况已经蔓延到可靠性、安全性和成本治理等更多领域。该报告提出了一些假设,解释了为什么工作负载配置的总体趋势会逐年变差:


很明显,DevOps 团队数量不足。作为社区,我们需要做得更好,以便为他们提供支持。随着 Kubernetes 使用范围的扩大,DevOps 管理新团队引入配置风险的难度增加了。

 

该报告调查了数百家组织的超过 15 万个工作负载。他们发现,允许 root 访问的工作负载比去年增加了 22 个百分点。他们还发现,可能受镜像漏洞影响的工作负载有所增加,其中有 25%的组织,他们 90%的工作负载都面临此类风险。与去年的报告相比,这增加了 200%以上。

 

这令人担忧,因为Orca Security最近的一份报告发现,平均攻击路径只需三步就可以到达业务关键数据或资产。根权限与潜在的镜像漏洞(如 log4j)提供了初始入口点。Orca Security 的报告显示,78%的攻击路径使用已知漏洞(CVE)作为初始访问点。

 

Fairwinds 的报告确实发现,与没有护栏的组织相比,采用左移方法或在部署时实现 Kubernetes 护栏的组织能够多纠正 36%的 CPU 和内存配置缺失问题。此外,使用护栏的组织比没有使用护栏的组织多纠正了 15%的镜像漏洞。

 

Fairwinds 营销副总裁Danielle Cook解释道:“随着 Kubernetes 使用范围的扩大,DevOps 团队管理新团队引入配置风险的难度增加了。”让这个问题更加复杂的是确定哪个团队负责构建这些护栏,并确保配置是正确的。Armo的一项调查发现,58%的受访者认为,DevSecOps 团队应该是这些解决方案的所有者。该报告还发现,只有 10%的受访者认为他们的团队是处理 Kubernetes 环境安全的专家。

 

许多人都同意,对于团队来说,理解和管理与开发活动、基础设施和工具相关的所有风险变得越来越困难。Syntasso 首席运营官Paula Kennedy分享了这种沉重的认知负荷可能带来的影响:


对于任何试图在复杂的技术领域中航行的人来说,这都是一场持续的斗争。每天都有新工具发布,要了解新功能、评估工具、选择合适的工具,还要了解这些工具之间如何相互交互,以及如何将它们融入你的技术栈,这是一项非常困难的活动。

 

Fairwinds 报告指出,护栏或铺好的路(paved paths)可以帮助团队遵循最佳实践。正如 Kennedy 所言,这些方法有助于“简少工具数量,减少选项过多所带来的认知负荷,以及减轻平台的技术膨胀。”

 

要了解有关 Fairwinds 2023 年 Kubernetes 基准报告的更多内容,请直接访问Fairwinds网站

 

原文链接:

https://www.infoq.com/news/2023/01/kubernetes-poorly-configured/


相关阅读:

如何用 Prometheus 和 Grafana 监控 Kubernetes 集群?

关于 NGINX Kubernetes Gateway,你需要知道的 5 件事

Kubernetes 安全防护终极指南

2023-03-01 08:009629

评论

发布
暂无评论
发现更多内容

架构实战营-第6期 模块一课后作业

乐邦

「架构实战营」

个全中文注释的迷你Spring!

程序员阿杜

Java spring springboot

澳鹏数据标注平台MatrixGo加速人工智能落地

澳鹏Appen

人工智能 数据标注 训练数据

直播预告|FeatureStore Meetup V2

星策开源社区

人工智能 大数据 开源 特征平台 MLOps

一文读懂并发与并行

潘大壮

并发编程 多线程 并行 并发’ #java

智能家居开放平台技术建设新思路

Speedoooo

物联网 智慧社区 智慧家居 智能终端 应用平台

架构实战营6&微信业务架构&学生管理系统方案

唐诗宋词

企业如何实现在线客服功能?

小炮

在线客服

Hoo虎符研究院|区块链简报 20220328期

区块链前沿News

虎符 Hoo 虎符交易所

Linux之time命令

入门小站

Linux

在线常用crontab表达式大全验证解析

入门小站

工具

CPP进阶:迭代器失效

正向成长

迭代器失效

阿里巴巴代码规约检测&Java 代码规约扫描

阿里云云效

阿里巴巴 阿里云 代码扫描 #java 代码规约检测

什么是404页面?

源字节1号

404

恒源云(GpuShare)_无监督的QG方法

恒源云

自然语言处理 深度学习

车载运行小程序,快速打造智慧汽车应用生态

Speedoooo

车联网 物联网 智慧终端 智慧汽车 车载小程序

在线HTML压缩工具

入门小站

工具

微信业务架构图&学生管理系统架构设计

高山觅流水

架构实战营 「架构实战营」

解决报错:SSL certificate problem: certificate has expired

liuzhen007

git

java高级用法之:在JNA中使用类型映射

程序那些事

Java 程序那些事 3月月更 JNA

【ELT.ZIP】OpenHarmony啃论文俱乐部——轻翻那些永垂不朽的诗篇

ELT.ZIP

OpenHarmony 数据压缩 ELT.ZIP

[Day2]-[回溯] N皇后问题

方勇(gopher)

LeetCode 动态规划 数据结构算法

如何建立高效的质量保障机制

老张

软件测试 质量保障 交付能力

面试题笔记

Clarke

JavaScript 引擎是如何实现 async/await 的

CRMEB

车联网数据安全新挑战的技术应对方案

Speedoooo

车联网 物联网 数据安全 容器安全

代码评审的最佳解决方案

阿里云云效

云计算 阿里云 敏捷开发 代码管理 代码评审

TDesign 更新周报(2022年3月第4周)

TDesign

Petal Maps的美学钥匙,解锁AITO问界M5的硬核浪漫

脑极体

性能测试中的LongAdder

FunTester

性能测试 FunTester

赋能创新,深开鸿重磅发布面向金融行业KaihongOS发行版

科技汇

Kubernetes 调查报告:配置不当可能导致安全问题_容器_Matt Campbell_InfoQ精选文章