红帽《2022年Kubernetes安全状况报告》:问题的症结在于人

尽管IT领导者广泛认为Kubernetes是一项重要的技术,但部署Kubernetes仍然存在问题。而问题的症结显然就是我们自己。

去年,云原生计算基金会做的一个调查显示,96%的组织正在使用或评估开源容器编排软件Kubernetes。Kubernetes的复杂性却是人所共知的。

来看一条讽刺推文:IT咨询公司The Duckbill Group的首席云计算经济学家Corey Quinn周一在推特上发文开玩笑表示,“Kubernetes很容易用吧,一家专门负责解决Kubernetes问题的公司已筹集了6700万美元。”使用Kubernetes的人都说难用得很,也是由于其复杂性导致的。

根据红帽公司的《2022年Kubernetes安全状况报告》的数据,对300名的DevOps、工程和安全专业人士调查问卷结果显示,大多数人(55%)表示,在过去的12个月里,他们不得不因为安全问题而推迟一个应用程序的首次发布。

多达93%的受访者表示在过去12个月里他们的Kubernetes环境至少发生过一次安全事件,其中31%的人说安全事件导致了收入或客户损失。来自IBM的红帽公司报告将责任归咎于Kubernetes关注的是生产力而不是安全。

红帽公司的报告称,“Kubernetes和容器虽然功能强大,但却是为开发者生产力而设计的,不一定是安全的。例如,默认的pod-to-pod网络设置允许开放通信,这样可以快速启动和运行集群的速度,但却牺牲了安全的加固。”

第八层问题

Kubernetes的复杂性可以导致人为错误,而且在一定程度上导致了软件的实施多数是靠摸索。

红帽公司的报告表示,“人为错误成了95%的漏洞的主要促成因素”,报告引用了世界经济论坛一份报告称“95%的网络安全问题可以追溯到人为错误”。世界经济论坛这份报告则提到世界经济的帖子说“研究表明,95%的网络安全问题可以追溯到人为错误”,但没有引用任何具体研究。

无论具体的相关数字是多少,整个过程中某个地方存在人为参与,而且人不太能够很好地处理复杂的问题。因此,红帽产品营销经理Ajmal Kohgadai表示,Kubernetes用户往往比黑客更担心打字错误。

他在一篇博文中表示,“尽管媒体对网络攻击的广泛关注,但报告却强调,实际上是错误的配置令IT专业人士晚上睡不好觉。Kubernetes是高度可定制的,配有各种配置选项,这些选项都可以影响一个应用程序的安全态势。因此,受访者最担心的是他们的容器和Kubernetes环境中的错误配置导致的暴露风险(46%),几乎是对攻击担忧程度(16%)的三倍。”

红帽对此的答案是,尽可能地实现配置管理的自动化,达到减少人为错误影响的目的。

红帽为此将去年通过收购StackRox获得的用于Kubernetes高级集群安全(ACS)制作了名为StackRox的软件,发布的StackRox软件是个开源软件。

红帽公司宣布StackRox软件时表示,“StackRox项目旨在通过在开发和部署生命周期内整合安全功能帮助简化DevSecOps并有效地将应用安全在软件创建中‘移到左边’(指DevOps里的Dev部分)。”

StackRox软件可以分析容器环境的风险、发出警报并提供安全改进建议。

但业界的公司在要实现Kubernetes自动化就需要一些具有相关技能的人,这些人知道如何正确地编写脚本和配置文件。而要找到这样的人则是Kubernetes的最大痛点,30%的问卷调查受访者提到这一点:“我们缺乏内部人才,无法充分使用Kubernetes的潜力。”

来源:至顶网网络与安全频道

0赞

好文章,需要你的鼓励

2022

05/19

14:38

分享

点赞

邮件订阅