写点什么

最新安全报告:四万多容器平台被暴露,近半数为 Kubernetes

  • 2019-07-26
  • 本文字数:787 字

    阅读完需:约 3 分钟

最新安全报告:四万多容器平台被暴露,近半数为Kubernetes

近日,Palo Alto Networks公司Unit 42 威胁情报团队发布的最新报告显示目前主流云平台存在 3400 万个漏洞,另有四万多容器平台被暴露。


近日,Palo Alto Networks公司Unit 42 威胁情报团队发布了最新的云安全调查报告,该团队分析了 2018 年 1 月至 2019 年 6 月之间的数据。根据统计,4 万多容器平台被暴露,其中有 2 万 3 千多个 Docker 容器和 2 万左右 Kubernetes 平台,这主要是由于企业采用默认配置造成的,部分容器甚至不需要验证身份就可以直接访问数据。



此外,AWS 平台上被发现超过 2900 万个漏洞,谷歌云发现的漏洞数量接近 400 万,微软 Azure 发现了 170 万左右漏洞。值得注意的是,这些漏洞并不是云提供商的问题,很大程度上是用户使用了过时的 Apache 服务器和易受攻击的 jQuery 软件包。在调查期间内,发生的云安全事故有 65%均是因为用户配置错误引起的,25%是由于账户问题导致的。


安全套接层(SSL)是用于在 Web 服务器和浏览器之间建立加密链接的安全技术,SSL 于 2015 年 6 月被弃用,取而代之的是安全传输层协议(TLS)。 但是,TLS 1.1 版已经过期,并在 2008 年更换为 TLSv1.2 版本,但仍然有 61%的组织在其环境中使用旧版本的 TLS 和 SSL。


Unit 42 建议,每个具有敏感数据的容器都应放在正确配置的安全策略或面向外部的防火墙后面,以防止外部用户访问。 此外,组织不应保留其容器基础设施的默认配置。相反,安全策略应该提供有关该组织特有容器配置的指导,并且在检索任何数据之前都需要进行身份验证。


最后,企业安全团队需要确保可以跨虚拟机、容器和无服务器应用程序访问实时视图,保持对各种计算机范例的可见性可能是一项挑战,但这一点至关重要;将安全性集成到 DevOps 工作流中,以让团队能够以自动化的方式扩展;保证容器和功能配置的合规性;随着云占用空间的增长,能够自动建模并将应用程序行为列入白名单,这些是保护云工作负载免受攻击和危害的好方法。


2019-07-26 14:0711985
用户头像
赵钰莹 极客邦科技 总编辑

发布了 894 篇内容, 共 680.2 次阅读, 收获喜欢 2694 次。

关注

评论 1 条评论

发布
用户头像
容器的采用量逐年增加,是时候提高安全意识了
2019-07-26 16:38
回复
没有更多了
发现更多内容

自动化回归测试平台 AREX 前端架构演变史 —— Tabs 动态组件设计

AREX 中文社区

Vue 前端 软件测试

大语言模型的创意能力到底几何?探索从GPT-2到GPT-4的演进

Baihai IDP

人工智能 自然语言处理 大模型 白海科技 企业号 6 月 PK 榜

从入门到精通,阿里内部手抄微服务架构笔记,看完感觉我又行了!

Java 架构 微服务 Spring Cloud spring cloud alibaba

华为云GaussDB以技术创新引领金融行业分布式转型

YG科技

开源赋能 普惠未来|元遨/CARSMOS诚邀您参与2023开放原子全球开源峰会

开放原子开源基金会

开源 CARSMOS 元遨

Csdn上20W+阅读,这份“Java核心万字宝典”霸榜9天,太香了

Java

文盘Rust -- tokio绑定cpu实践 | 京东云技术团队

京东科技开发者

rust cpu tokio 企业号 6 月 PK 榜

【ChatGPT应用篇】助力Beauty代码的初体验 | 京东云技术团队

京东科技开发者

人工智能 ChatGPT 企业号 6 月 PK 榜

国产自研数据库是更新换代首选

YG科技

你还在用 BeanUtils?试试 MapStruct,优雅的对象转换解决方案!

Java你猿哥

Java ssm map

GitHub 爆火的「算法刷题宝典」,电子版终于出来了

Java 数据结构 算法 LeetCode

从BeyondCampus最佳实践,洞察高校零信任发展趋势

权说安全

二层交换机和三层交换机到底有啥区别?如何从二层切换到三层模式,结合思科、华为、瞻博三厂商!

wljslmz

6 月 优质更文活动

如何开发视频上传和播放功能时,既省钱又体验好?

北桥苏

php ffmpeg OSS HLS m3u8

入职阿里?最少啃完这本500页Java并发多线程源码笔记

程序知音

Java 并发编程 多线程 高并发 后端技术

GitHub标星137k+,超全面Java知识点总结!从10K到40K全有了

Java

记一次618军演压测TPS上不去排查及优化 | 京东云技术团队

京东科技开发者

JVM 压测 调优 压测分析 企业号 6 月 PK 榜

行业DBA走进华为,共建数据库生态

YG科技

面渣逆袭必看!Java中高级面试指南,Github标星4.3k+!

Java java面试 Java八股文 Java面试题 Java面试八股文

阿里、字节大佬共创的Netty核心原理手册,必须是全网No.1

程序知音

Java Netty java架构 Java进阶 后端技术

【2023华为云CodeArts Build 实战训练营】云端实战-玩转编译构建

云计算 华为云 华为开发者大会2023

火山引擎DataLeap的Catalog系统搜索实践(三):Learning to rank与后续工作

字节跳动数据平台

数据湖 数据化 数据平台 大数据分析 DataLeap

深度解析Seata AT 模式中性能优化与隔离保障的平衡之道

Java你猿哥

Java 数据 ssm 脏读

软件测试/测试开发丨接口自动化测试学习笔记分享

测试人

程序员 软件测试 自动化测试 接口测试 测试开发

🔥笔下生花,与时舒卷,InfoQ写作社区6月优质更文活动来啦!

InfoQ写作社区官方

热门活动 6 月 优质更文活动

轻量灵动: 革新轻量级服务开发 | 京东云技术团队

京东科技开发者

jdk8 GraalVM jdk17 企业号 6 月 PK 榜

宝兰德应用服务器软件与华为云GaussDB完成兼容互认证

YG科技

[EuroSys2023 Best Poster] 面向动态图的极低时延GNN推理采样服务

阿里云大数据AI技术

人工智能 机器学习 推理 企业号 6 月 PK 榜 DGS

5年Java经验字节社招:15天3次面试,成功拿下Offer

程序知音

Java java面试 大厂面试 后端技术 Java面试八股文

最新安全报告:四万多容器平台被暴露,近半数为Kubernetes_文化 & 方法_赵钰莹_InfoQ精选文章