2019 年容器安全最新现状研究报告解读

容器和 Kubernetes 随着技术的逐步成熟与普及度的不断提高，已经逐渐走过了迅猛高速迭代只为大跨步发展的阶段，越来越多企业开始关注技术在生产环境的落地，关注应用性、稳定性和安全性。

从 2018 年年底开始，Kubernetes 和 Docker 陆陆续续被爆出不少安全漏洞，容器安全问题开始成为业界普遍关注的对象。2019 年初，Tripwire 发布了 2019 年关于容器安全的最新现状调查研究，报告定位的问题较为专一和深入，再加上 Tripwire 本身在安全相关的行业经验，本文中我们一起来了解 DevOps 实践的新宠（容器）在安全方面的现状。

调研机构

Tripwire 致力于 IDS（Intrusion detection system：入侵检测系统）的研究和对应，它根据系统整体的完整性是否遭到破坏来判断是否被入侵，在安全领域有一定的名声。在 DevOps 实践方面，可能这家公司的合作创始人兼前 CTO 的 Gene Kim（凤凰项目一书的作者）更加有名气一些。而 Tripwire 早在 2014 年底，就已经被美国最大的高速电子电缆生产商之一的百通（Belden Inc）所并购。

数据来源

这份报告的结论建立在对数百份 IT 安全相关的职业人员的调研基础之上。受访对象中 311 位受访者在超过 100 名雇员的公司中管理环境中的容器。其中，高达 86%的受访者（269 位）在生产环境中进行镜像的使用。

而受访对象的所在行业也与 2019 年 DevSecOps 的数据不谋而合——科技和金融合起来接近半壁江山，容器在科技和金融领域的展开相较于其他行业有一定的优势。

使用现状

86%的受访者在生成环境中使用了容器

根据反馈，高达 86%的受访者在生产环境中使用了容器。近 1/3（32%）的受访者所在企业生产环境中使用容器的数量超过 100，近 1/3 的受访对象对容器的使用在 10-100 之间，少于 10 个的企业占到 22%。整体来看容器在生产环境的使用已经在很大程度上得到推进。

对于容器安全的关注

对于容器安全，高达 94%的受访对象对容器安全比较关注，只有 6%的受访者表示并不在乎。表示高度关注的受访对象达到了 43%，所以容器安全从开始就得到了重视。

用得越多关注度越高

从在生产环境中使用的容器数量来分析关注度高的受访者状况，显示出使用的容器数量愈多，对于容器安全的关注愈高，生产环境中容器数量超过 100 的受访者的“非常关注”的比例达到了 54%。

注：上图中深红色的（More than 10 containers 应该是报告的失误，此处明显应该是 100）

了解得愈多关注度愈高

受职责所在以及对于容器安全的知识多少的影响，显示出具有安全相关的职责和对于容器安全知识的多少都会造成关注度的不同。知道的愈多，关注度愈高。

容器安全的关注点

对于容器安全的关注相关的调查显示，目前的状态仍然停留在“团队缺乏足够的容器安全知识”的程度，由于不了解产生的关注，仍很难落于实处。

生产环境的使用不容乐观

在前面的数据中显示 311 位受访者所在企业中高达 269 位所在的企业在生产环境中使用了容器。而在这之中，只有 7%的受访者表示“他们的生产环境没有安全性的问题”，剩余 93 的受访者之中，47%确信他们在生产环境中有安全性的问题，46%不知道/不确信他们是否有类似的问题。

47%的受访者确信他们存在容器安全的隐患，这其中包括：

• 17%的受访者表示清楚地知道存在这些问题，但是义无反顾地将容器布置到了生产环境

• 30%的受访者表示知道存在这些问题，但是并不知道这些安全性的问题到底是什么

• 46%的受访者不知道/不确信是否有类似问题

46%的受访者不知道/不确信是否有类似问题，这其中包括：

• 20%的受访者表示他们不认为有，但是不是很确信

• 22%的受访者表示他们知道有一些，但是不确信

• 4%的受访者表示他们不知道

这是一个很可怕的反馈，潜台词就是，高达 93%的受访者不是非常清楚问题的状况，而这里是生产环境的部署。此外，根据容器使用数量的反馈进行分析也能得到类似的结果：

关于“我们知道问题的所在，但是我们还是部署了它们”的情况，可以看到这是一个接近线性的比例，这一数据显示了非常重要的信号，在生产环境中使用得多（超过 100 容器），这种问题发生的比例就高，也就是说目前的容器安全的意识和水平，整体来说并不是很高。

60%的受访者所在组织在过去一年碰到过安全事件

除了 29%的受访者明确表示没有安全问题，11%的受访者表示不知道之外，剩余的 60%的受访者所在组织在过去的一年中都碰到过安全事件，其中 5 次以下的占到了 37%，而超过 100 次的也有 3%。

做得越多错得越多

前面已经分析过了，在生产环境部署了 100 个以上的组织，并不意味着他们是在成熟度高了之后进行的逐步扩展，从结果的分析看来，明显是做得越多错得越多。

未来期待

关于未来的期待，71%的受访者认为容器安全问题所占的比例在接下来的一年会稳定上升。

相较于对安全状况的不甚明了，对于容器安全问题在来年所占比率上，13%的受访者认为会大幅上升，58%认为会小幅上升，合计 71%的受访者对此表示强烈的信心。

而关于问题会增多的原因更多的受访者分析为内因，容器的推广和在关键业务中的使用都大于或等于对外部黑客可能侵入的担忧。

42%的受访者表示会因为安全风险限制容器的推广

虽然有点像因噎废食，但安全风险的确不容忽视，虽然看起来正确的做法是增加安全的防护，42%的受访者明确表示会考虑因安全风险而限制容器的使用。

高达 98%的用户反馈希望在容器环境中增强安全相关的功能

谁该为容器安全负责

关于谁该负责容器安全这个话题，46%的受访者认为负责 IT 安全的部门应该负责这个。

由于容器的采用，82%的受访者认为关于安全职责的问题需要重新思考

这不只是一份调查报告，很有可能跟你的工作相关，容器的引入带来了新的安全问题。这个问题谁该负责并没有一个标准的答案，46%的受访者认为是 IT 安全部门应该负责，很有可能这些受访者都不是 IT 安全部门的员工。

总结

容器推行势在必行，但容器安全的责任归属尚未明确，而使用容器所带来的安全问题已经实际存在，发生只是时间问题。尽管企业已经在积极思考对策，但安全问题不会等待。

Rancher Kubernetes 平台拥有着 超过一亿次 下载量，我们深知 安全问题 对于用户而言的重要性。

2018 年年底Kubernetes被爆出的首个严重安全漏洞CVE-2018-1002105，就是由 Rancher Labs 联合创始人及首席架构师 Darren Shepherd 发现的。

2019 年 1 月Kubernetes被爆出仪表盘和外部IP代理安全漏洞CVE-2018-18264时，Rancher Labs 也是第一时间向用户响应，确保所有 Rancher 2.x 和 1.6.x 的用户都完全不被漏洞影响。

2019 年 2 月爆出的严重的runc容器逃逸漏洞CVE-2019-5736，影响到大多数 Docker 与 Kubernetes 用户，Rancher Kubernetes 管理平台和 RancherOS 操作系统均在不到一天时间内紧急更新，是业界第一个紧急发布新版本支持 Docker 补丁版本的平台，还帮忙将修复程序反向移植到所有版本的 Docker 并提供给用户，且提供了连 Docker 官方都不支持的针对 Linux 3.x 内核的修复方案。

负责、可靠、快速响应、以用户为中心，是 Rancher 始终不变的初心；在每一次业界出现问题时，严谨踏实为用户提供相应的应对之策，也是 Rancher 一如既往的行事之道。未来，Rancher 也将一如既往支持与守护在用户的 K8S 之路左右，确保大家安全、稳妥、无虞地继续前进❤️

参考链接

https://www.tripwire.com/solutions/devops/tripwire-dimensional-research-state-of-container-security-report

作者：刘淼，HPE 架构师，慧与大学讲师，Exin DevOps Master 和 DevOps Professional 授权讲师，CSDN 博主(liumiaocn)，爱老婆爱厨艺的终身技术学习者。