写点什么

Kubernetes 调查报告:配置不当可能导致安全问题

  • 2023-03-01
    北京
  • 本文字数:1215 字

    阅读完需:约 4 分钟

Kubernetes 调查报告:配置不当可能导致安全问题

Kubernetes 软件提供商 Fairwinds 发布了2023年Kubernetes基准报告。该报告显示,在参与调查的组织中存在配置问题不断恶化的总体趋势。这包括以下几类工作负载的增加:允许 root 访问的、未设置内存限制的和受镜像漏洞影响的。

 

去年,该报告发现,总体而言,只有不到 10%的工作负载受到不良或不当配置的影响。今年他们发现,这种情况已经蔓延到可靠性、安全性和成本治理等更多领域。该报告提出了一些假设,解释了为什么工作负载配置的总体趋势会逐年变差:


很明显,DevOps 团队数量不足。作为社区,我们需要做得更好,以便为他们提供支持。随着 Kubernetes 使用范围的扩大,DevOps 管理新团队引入配置风险的难度增加了。

 

该报告调查了数百家组织的超过 15 万个工作负载。他们发现,允许 root 访问的工作负载比去年增加了 22 个百分点。他们还发现,可能受镜像漏洞影响的工作负载有所增加,其中有 25%的组织,他们 90%的工作负载都面临此类风险。与去年的报告相比,这增加了 200%以上。

 

这令人担忧,因为Orca Security最近的一份报告发现,平均攻击路径只需三步就可以到达业务关键数据或资产。根权限与潜在的镜像漏洞(如 log4j)提供了初始入口点。Orca Security 的报告显示,78%的攻击路径使用已知漏洞(CVE)作为初始访问点。

 

Fairwinds 的报告确实发现,与没有护栏的组织相比,采用左移方法或在部署时实现 Kubernetes 护栏的组织能够多纠正 36%的 CPU 和内存配置缺失问题。此外,使用护栏的组织比没有使用护栏的组织多纠正了 15%的镜像漏洞。

 

Fairwinds 营销副总裁Danielle Cook解释道:“随着 Kubernetes 使用范围的扩大,DevOps 团队管理新团队引入配置风险的难度增加了。”让这个问题更加复杂的是确定哪个团队负责构建这些护栏,并确保配置是正确的。Armo的一项调查发现,58%的受访者认为,DevSecOps 团队应该是这些解决方案的所有者。该报告还发现,只有 10%的受访者认为他们的团队是处理 Kubernetes 环境安全的专家。

 

许多人都同意,对于团队来说,理解和管理与开发活动、基础设施和工具相关的所有风险变得越来越困难。Syntasso 首席运营官Paula Kennedy分享了这种沉重的认知负荷可能带来的影响:


对于任何试图在复杂的技术领域中航行的人来说,这都是一场持续的斗争。每天都有新工具发布,要了解新功能、评估工具、选择合适的工具,还要了解这些工具之间如何相互交互,以及如何将它们融入你的技术栈,这是一项非常困难的活动。

 

Fairwinds 报告指出,护栏或铺好的路(paved paths)可以帮助团队遵循最佳实践。正如 Kennedy 所言,这些方法有助于“简少工具数量,减少选项过多所带来的认知负荷,以及减轻平台的技术膨胀。”

 

要了解有关 Fairwinds 2023 年 Kubernetes 基准报告的更多内容,请直接访问Fairwinds网站

 

原文链接:

https://www.infoq.com/news/2023/01/kubernetes-poorly-configured/


相关阅读:

如何用 Prometheus 和 Grafana 监控 Kubernetes 集群?

关于 NGINX Kubernetes Gateway,你需要知道的 5 件事

Kubernetes 安全防护终极指南

2023-03-01 08:009664

评论

发布
暂无评论
发现更多内容

GaussDB(DWS)性能调优系列实现篇六:十八般武艺Plan hint运用

华为云开发者联盟

数据库 性能优化 sql GaussDB 算子

需求条目化:一个让用户故事有效落地的套路

华为云开发者联盟

敏捷 项目 需求条目化

Spring 源码学习 14:initApplicationEventMulticaster、onRefresh 和 registerListeners

程序员小航

spring 源码 源码阅读

读书笔记:《中产阶级如何保护自己的财富》

lidaobing

28天写作 中产阶级如何保护财富

关于焦虑的思考

.

28天写作

浅析Mysql数据库优化设计规范的“度”

三石

MySQL 28天写作

创业失败启示录|校园微生活(故事篇3)

阿萌

28天写作 创业失败启示录 青城

欢迎来到机器人的打工时代「幻想短篇 6/28」

道伟

28天写作

HDFS SHELL详解(7)

罗小龙

hadoop 28天写作 hdfs shell

区块链双仓合约交易所系统开发

量化对冲搬砖套利交易APP开发|量化对冲搬砖套利交易系统软件开发

系统开发

一个奇怪的 Elasticsearch 节点

escray

elasticsearch elastic 28天写作 死磕Elasticsearch 60天通过Elastic认证考试

为什么我们需要自动化回归?

阿里巴巴中间件

中间件

读《快手要上市了》,一起了解快手

李忠良

开源 技术 28天写作

碎碎念之「被误会的佛系,被遗忘的疯魔」

Justin

碎碎念 心灵鸡汤 28天写作 佛教

关于“面试造火箭,入职拧螺丝” Jan 14, 2021

王泰

28天写作

【HTML】已经废弃的align(图像对齐方式)

德育处主任

html html5 Web html/css 28天写作

数据结构与算法-时间和空间复杂度

Byte_Panda

算法

大流量场景下如何云淡风轻地进行线上发布?

阿里巴巴中间件

油车和电车比到底哪个整体能源利用效率高?(28天写作 Day6/28)

mtfelix

自动驾驶 28天写作 电动汽车

项目管理系列(2)-如何写好一份报告

Ian哥

项目管理 28天写作

测试一年多,上线就崩溃!微服务到底应该怎么测试?

阿里巴巴中间件

中间件

简单三招,每个管理者都可以成为有温度的共情高手

一笑

沟通与管理 28天写作

pub哥的2020文章清单

JavaPub

Java javapub

两种常见的减少信息不对称的办法

熊斌

学习 成长 28天写作

生产环境全链路压测建设历程 28:FAQ 之 混沌工程

数列科技杨德华

28天写作

微信视频号的排版,怎样才好看 | 视频号 28 天 (07)

赵新龙

28天写作

[4/28]保障产品高质量交付业务价值

L3C老司机

《适用于初学者的Python》

计算机与AI

Swift 算法-栈

Byte_Panda

算法

28天瞎写的第二百一七天:你们 CentOS 服务器还有图形界面啊?

树上

28天写作

Kubernetes 调查报告:配置不当可能导致安全问题_容器_Matt Campbell_InfoQ精选文章