红帽《2022年Kubernetes安全状况报告》：问题的症结在于人

去年，云原生计算基金会做的一个调查显示，96%的组织正在使用或评估开源容器编排软件Kubernetes。Kubernetes的复杂性却是人所共知的。

来看一条讽刺推文：IT咨询公司The Duckbill Group的首席云计算经济学家Corey Quinn周一在推特上发文开玩笑表示，“Kubernetes很容易用吧，一家专门负责解决Kubernetes问题的公司已筹集了6700万美元。”使用Kubernetes的人都说难用得很，也是由于其复杂性导致的。

根据红帽公司的《2022年Kubernetes安全状况报告》的数据，对300名的DevOps、工程和安全专业人士调查问卷结果显示，大多数人（55%）表示，在过去的12个月里，他们不得不因为安全问题而推迟一个应用程序的首次发布。

多达93%的受访者表示在过去12个月里他们的Kubernetes环境至少发生过一次安全事件，其中31%的人说安全事件导致了收入或客户损失。来自IBM的红帽公司报告将责任归咎于Kubernetes关注的是生产力而不是安全。

红帽公司的报告称，“Kubernetes和容器虽然功能强大，但却是为开发者生产力而设计的，不一定是安全的。例如，默认的pod-to-pod网络设置允许开放通信，这样可以快速启动和运行集群的速度，但却牺牲了安全的加固。”

第八层问题

Kubernetes的复杂性可以导致人为错误，而且在一定程度上导致了软件的实施多数是靠摸索。

红帽公司的报告表示，“人为错误成了95%的漏洞的主要促成因素”，报告引用了世界经济论坛一份报告称“95%的网络安全问题可以追溯到人为错误”。世界经济论坛这份报告则提到世界经济的帖子说“研究表明，95%的网络安全问题可以追溯到人为错误”，但没有引用任何具体研究。

无论具体的相关数字是多少，整个过程中某个地方存在人为参与，而且人不太能够很好地处理复杂的问题。因此，红帽产品营销经理Ajmal Kohgadai表示，Kubernetes用户往往比黑客更担心打字错误。

他在一篇博文中表示，“尽管媒体对网络攻击的广泛关注，但报告却强调，实际上是错误的配置令IT专业人士晚上睡不好觉。Kubernetes是高度可定制的，配有各种配置选项，这些选项都可以影响一个应用程序的安全态势。因此，受访者最担心的是他们的容器和Kubernetes环境中的错误配置导致的暴露风险（46％），几乎是对攻击担忧程度（16％）的三倍。”

红帽对此的答案是，尽可能地实现配置管理的自动化，达到减少人为错误影响的目的。

红帽为此将去年通过收购StackRox获得的用于Kubernetes高级集群安全（ACS）制作了名为StackRox的软件，发布的StackRox软件是个开源软件。

红帽公司宣布StackRox软件时表示，“StackRox项目旨在通过在开发和部署生命周期内整合安全功能帮助简化DevSecOps并有效地将应用安全在软件创建中‘移到左边’（指DevOps里的Dev部分）。”

StackRox软件可以分析容器环境的风险、发出警报并提供安全改进建议。

但业界的公司在要实现Kubernetes自动化就需要一些具有相关技能的人，这些人知道如何正确地编写脚本和配置文件。而要找到这样的人则是Kubernetes的最大痛点，30%的问卷调查受访者提到这一点：“我们缺乏内部人才，无法充分使用Kubernetes的潜力。”