Kubernetes 调查报告:配置不当可能导致安全问题
Kubernetes 软件提供商 Fairwinds 发布了 2023 年 Kubernetes 基准报告。该报告显示,在参与调查的组织中存在配置问题不断恶化的总体趋势。这包括以下几类工作负载的增加:允许 root 访问的、未设置内存限制的和受镜像漏洞影响的。
去年,该报告发现,总体而言,只有不到 10% 的工作负载受到不良或不当配置的影响。今年他们发现,这种情况已经蔓延到可靠性、安全性和成本治理等更多领域。该报告提出了一些假设,解释了为什么工作负载配置的总体趋势会逐年变差:
很明显,DevOps 团队数量不足。作为社区,我们需要做得更好,以便为他们提供支持。随着 Kubernetes 使用范围的扩大,DevOps 管理新团队引入配置风险的难度增加了。
该报告调查了数百家组织的超过 15 万个工作负载。他们发现,允许 root 访问的工作负载比去年增加了 22 个百分点。他们还发现,可能受镜像漏洞影响的工作负载有所增加,其中有 25% 的组织,他们 90% 的工作负载都面临此类风险。与去年的报告相比,这增加了 200% 以上。
这令人担忧,因为 Orca Security 最近的一份报告发现,平均攻击路径只需三步就可以到达业务关键数据或资产。根权限与潜在的镜像漏洞(如 log4j)提供了初始入口点。Orca Security 的报告显示,78% 的攻击路径使用已知漏洞(CVE)作为初始访问点。
Fairwinds 的报告确实发现,与没有护栏的组织相比,采用左移方法或在部署时实现 Kubernetes 护栏的组织能够多纠正 36% 的 CPU 和内存配置缺失问题。此外,使用护栏的组织比没有使用护栏的组织多纠正了 15% 的镜像漏洞。
Fairwinds 营销副总裁 Danielle Cook 解释道:“随着 Kubernetes 使用范围的扩大,DevOps 团队管理新团队引入配置风险的难度增加了。”让这个问题更加复杂的是确定哪个团队负责构建这些护栏,并确保配置是正确的。Armo 的一项调查发现,58% 的受访者认为,DevSecOps 团队应该是这些解决方案的所有者。该报告还发现,只有 10% 的受访者认为他们的团队是处理 Kubernetes 环境安全的专家。
许多人都同意,对于团队来说,理解和管理与开发活动、基础设施和工具相关的所有风险变得越来越困难。Syntasso 首席运营官 Paula Kennedy 分享了这种沉重的认知负荷可能带来的影响:
对于任何试图在复杂的技术领域中航行的人来说,这都是一场持续的斗争。每天都有新工具发布,要了解新功能、评估工具、选择合适的工具,还要了解这些工具之间如何相互交互,以及如何将它们融入你的技术栈,这是一项非常困难的活动。
Fairwinds 报告指出,护栏或铺好的路(paved paths)可以帮助团队遵循最佳实践。正如 Kennedy 所言,这些方法有助于“简少工具数量,减少选项过多所带来的认知负荷,以及减轻平台的技术膨胀。”
要了解有关 Fairwinds 2023 年 Kubernetes 基准报告的更多内容,请直接访问 Fairwinds 网站。
原文链接:
https://www.infoq.com/news/2023/01/kubernetes-poorly-configured/
相关阅读:
如何用 Prometheus 和 Grafana 监控 Kubernetes 集群?(https://www.infoq.cn/article/k5uE7BG56vvEiON1lKME)
关于 NGINX Kubernetes Gateway,你需要知道的 5 件事(https://xie.infoq.cn/article/c72c3ac5763d523d1f13e87d4)
Kubernetes 安全防护终极指南(https://www.infoq.cn/minibook/IDAGRlr1RAeLg8l6sZTy)
声明:本文为 InfoQ 翻译,未经许可,禁止转载
点击底部阅读原文访问 InfoQ 官网,获取更多精彩内容!
没有 NGINX 和 OpenResty 的未来:Cloudflare 工程师正花费大量时间用 Rust 重构现有功能
微信扫码关注该文公众号作者