尽管DevOps中容器的采用率正在不断增长,但对其安全性的担忧依然十分强烈。根据一项最新调查结果显示,35%的受访者认为,他们的公司并没有对容器安全进行充分投资;而另有15%的受访者认为,他们的公司并没有认真对待容器威胁。
该数据结果来自StackRox公司针对230名IT员工进行的一项调查——其中近一半的人将IT安全视为自身的主要角色。在这些受访者中,超过45%的人受雇于拥有10,000多名员工的大型企业,而58%的人受雇于金融科技或技术领域。在这份名为《容器安全状态》的报告中,StackRox发现,尽管容器和Kubernetes(一个自动化部署、伸缩和操作应用程序容器的开源平台)的采用率不断激增,但大多数组织并没有做好充分保护云原生应用程序的准备。
根据受访者调查,Docker是最受欢迎的容器运行时(container runtime)——即能够基于在线获取的镜像来创建和运行容器的程序,有189位受访者使用;而Kubernetes——最初由Google开发——则是最受欢迎的容器协调器,有122位受访者使用;Docker Swarm是第二大受欢迎的协调器,有93位受访者(主要来自拥有5,000名或更多员工的大型组织)使用。
调查结果还显示,40%的受访者会在混合环境(内部和云端)中操作他们的容器;28%的受访者只是在云端操作他们的容器;而只在内部操作容器的比例则达到了惊人的32%。就那些在云中的容器而言,118个使用了AWS,56个使用了Azure,还有39个使用了Google Cloud Platform。考虑到谷歌在容器使用和Kubernetes方面的行业领导地位,这个排名确实有些出乎意料。但是,鉴于我们的调查对象主要为大型企业,这一结果也就变得不足为奇了。
此外,高达54%的受访者表示,容器协调器中的“配置错误”是最大的安全问题。这些问题涉及Docker容器和Kubernetes协调器。其中最著名的“容器攻击”事件包括发生在AWS上的Tesla加密挖掘攻击事件,以及Shopify发布了有关元数据的漏洞,这两起事件都是源于对容器协调器的错误配置。
2018年2月,RedLock在其一项调查中发现,黑客入侵了Tesla的Kubernetes控制台,该控制台没有密码保护。在一个Kubernetes Pod中,访问凭证暴露在Tesla的AWS环境中,该环境包含一个亚马逊S3存储桶,该存储桶有一些敏感数据,比如遥测技术。之后,黑客成功劫持了Kubernetes容器并将其用于加密挖掘活动。当然,这里并不是说Kubernetes本身是不安全的,只是访问容器所需的复杂性和颗粒度仍需改进——这也正是导致受访者担心“错误配置”的原因所在。
安全专家解释称,Kubernetes所面临的安全挑战并不是直接访问平台进行登录并发动攻击。更确切地说,Kubernetes会经常不经意地出现配置错误情况,暴露出很多关键部分——例如,仪表板,或是可直接访问元数据等等,恶意行为者通过这些错误配置便能够发动攻击活动。
而现如今,容器受DevOps支持的趋势更是进一步加剧了这种情况,而且对DevOps而言,并不强求有安全团队的参与,这也导致容器安全情况进一步恶化。
如今,使用容器和配置Kubernetes最频繁的就是DevOps。对于安全团队而言,真正的挑战就是参与进制定保护该基础架构的政策和指南中来。任何容器安全解决方案的目标都应该是帮助实现“将安全性注入DevOps世界”——以便在利用DevOps便捷性的同时,实现更强大的安全性。
安全专家建议称,像许多强大的平台一样,Kubernetes最好也配置一个抽象层。这个安全抽象层能够凸显出错误配置并查明风险,例如会使资产面临风险的非必要开放式通信路径。
在每一次基础设施变更浪潮中,人为失误都是造成大部分安全风险的根源所在,而这种情况对于容器和Kubernetes而言也是一样。至关重要的是,针对这种基础架构的安全工具能够自动标注整个生态系统中最常见的错误配置。
以StackRox为例,它就能够通过简单地识别所部署容器的广度来有效地实现资产管理,并保护容器和Kubernetes环境安全。StackRox容器安全平台有助于保护映像本身,并评估构建过程中的风险,加固环境并减少部署阶段的攻击面,以及在容器“运行时”阶段查找和阻止恶意活动。StackRox平台与Kubernetes和容器生态系统之间的紧密集成,使安全性在整个生命周期内能够得以实现。
此类安全工具最好由安全团队进行管理。对容器安全性的关注,应该成为推动企业DevOps向企业Security DevOps转型的关键力量。
DevOps的影响以及容器化和Kubernetes的快速发展,已经使得应用程序开发变得比以往更加无缝、高效和强大。然而,调查结果却显示,安全性仍然是企业容器战略中的一项重大挑战。容器为DevOps和安全团队之间的协作提供了自然的桥梁,但它们也带来了独特的风险,如果不加以控制,可能会为企业带来真正的风险。
《容器安全状态》报告原文:
https://security.stackrox.com/rs/219-UEH-533/images/StackRox-Report-State_of_Container_Security.pdf