Redian新闻
>
Kubernetes 调查报告:配置不当可能导致安全问题

Kubernetes 调查报告:配置不当可能导致安全问题

公众号新闻

作者 | Matt Campbell
译者 | 平川
策划 | 丁晓昀

Kubernetes 软件提供商 Fairwinds 发布了 2023 年 Kubernetes 基准报告。该报告显示,在参与调查的组织中存在配置问题不断恶化的总体趋势。这包括以下几类工作负载的增加:允许 root 访问的、未设置内存限制的和受镜像漏洞影响的。

去年,该报告发现,总体而言,只有不到 10% 的工作负载受到不良或不当配置的影响。今年他们发现,这种情况已经蔓延到可靠性、安全性和成本治理等更多领域。该报告提出了一些假设,解释了为什么工作负载配置的总体趋势会逐年变差:

很明显,DevOps 团队数量不足。作为社区,我们需要做得更好,以便为他们提供支持。随着 Kubernetes 使用范围的扩大,DevOps 管理新团队引入配置风险的难度增加了。

该报告调查了数百家组织的超过 15 万个工作负载。他们发现,允许 root 访问的工作负载比去年增加了 22 个百分点。他们还发现,可能受镜像漏洞影响的工作负载有所增加,其中有 25% 的组织,他们 90% 的工作负载都面临此类风险。与去年的报告相比,这增加了 200% 以上。

这令人担忧,因为 Orca Security 最近的一份报告发现,平均攻击路径只需三步就可以到达业务关键数据或资产。根权限与潜在的镜像漏洞(如 log4j)提供了初始入口点。Orca Security 的报告显示,78% 的攻击路径使用已知漏洞(CVE)作为初始访问点。

Fairwinds 的报告确实发现,与没有护栏的组织相比,采用左移方法或在部署时实现 Kubernetes 护栏的组织能够多纠正 36% 的 CPU 和内存配置缺失问题。此外,使用护栏的组织比没有使用护栏的组织多纠正了 15% 的镜像漏洞。

Fairwinds 营销副总裁 Danielle Cook 解释道:“随着 Kubernetes 使用范围的扩大,DevOps 团队管理新团队引入配置风险的难度增加了。”让这个问题更加复杂的是确定哪个团队负责构建这些护栏,并确保配置是正确的。Armo 的一项调查发现,58% 的受访者认为,DevSecOps 团队应该是这些解决方案的所有者。该报告还发现,只有 10% 的受访者认为他们的团队是处理 Kubernetes 环境安全的专家。

许多人都同意,对于团队来说,理解和管理与开发活动、基础设施和工具相关的所有风险变得越来越困难。Syntasso 首席运营官 Paula Kennedy 分享了这种沉重的认知负荷可能带来的影响:

对于任何试图在复杂的技术领域中航行的人来说,这都是一场持续的斗争。每天都有新工具发布,要了解新功能、评估工具、选择合适的工具,还要了解这些工具之间如何相互交互,以及如何将它们融入你的技术栈,这是一项非常困难的活动。

Fairwinds 报告指出,护栏或铺好的路(paved paths)可以帮助团队遵循最佳实践。正如 Kennedy 所言,这些方法有助于“简少工具数量,减少选项过多所带来的认知负荷,以及减轻平台的技术膨胀。”

要了解有关 Fairwinds 2023 年 Kubernetes 基准报告的更多内容,请直接访问 Fairwinds 网站。

原文链接:

https://www.infoq.com/news/2023/01/kubernetes-poorly-configured/

相关阅读:

如何用 Prometheus 和 Grafana 监控 Kubernetes 集群?(https://www.infoq.cn/article/k5uE7BG56vvEiON1lKME)

关于 NGINX Kubernetes Gateway,你需要知道的 5 件事(https://xie.infoq.cn/article/c72c3ac5763d523d1f13e87d4)

Kubernetes 安全防护终极指南(https://www.infoq.cn/minibook/IDAGRlr1RAeLg8l6sZTy)

声明:本文为 InfoQ 翻译,未经许可,禁止转载

点击底部阅读原文访问 InfoQ 官网,获取更多精彩内容!

今日好文推荐

直接到云上做开发?先等等,这个方案还“半生不熟”

“干净”的代码,贼差的性能

一场向应用交付标准的“冲锋”

没有 NGINX 和 OpenResty 的未来:Cloudflare 工程师正花费大量时间用 Rust 重构现有功能

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
Medium的Kubernetes基础设施婚后第一次出轨揭秘 ChatGPT 背后的技术栈:OpenAI 如何将 Kubernetes 扩展到了 7500 个节点从修复 Kubernetes 集群中,我学到了什么Kubernetes 上 Java 应用的最佳实践VS Code有多么不安全:一个扩展就可能导致公司GitHub中的所有代码被擦除?报告称Kubernetes 安全大量使用开源解决方案21道题帮你轻松拿捏 Kubernetes 面试一款利器 ,持续分析 Kubernetes 中服务的性能在混合云下,我们将Kubernetes与Fluid结合后性能提升了30%用 Tekton 在 Kubernetes 中编写你的第一条 CI/CD 流水线 | Linux 中国如何使用Kubernetes实现应用程序的弹性伸缩在最美风景的阿尔卑斯高山公路自驾2022年回顾:Kubernetes盛行之年15 个 Kubernetes 最佳实践豆瓣评分8.9!300页Kubernetes学习手册,全是核心知识!Kubernetes Operator 最佳实践硬核!Kubernetes 网络排错“狂飙”级指南,运维请收好使用 Kubespray 安装 Kubernetes 集群 | Linux 中国如何逐步安装 Kubernetes(k8s)指标服务器 | Linux 中国手把手教你基于 Kubernetes 实现 CI/CD 配置小女儿在玫瑰花车游行急救了一病人详解使用Dex实现Kubernetes身份验证RRC detection、CornerNet、M2Det、FOCS…你都掌握了吗?一文总结目标检测必备经典模型(三)今年第一个版本 Kubernetes 1.27,发布啦!破茧成蝶 - Serverless Kubernetes 的思考与征程(二)如何使用机器学习来有效管理 Kubernetes 资源谷歌云推出配置管理仪表板,简化 Kubernetes 集群管理如何优雅限制 Kubernetes 集群中文件描述符与线程数量日本啊,日本(十八)和敬清寂的由来一文读懂Kubernetes存储设计Kubernetes 中 Ceph、LINSTOR、Mayastor 和 Vitastor 存储性能对比《丑陋的中国人》帽子必须摘掉调查报告 | 2022美国亚裔美国人社会追踪指数(STAATUS)调查报告发布为Kubernetes集群部署一个ChatGPT机器人
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。