《Sysdig:2023云原生安全和使用报告(28页).pdf》由会员分享,可在线阅读,更多相关《Sysdig:2023云原生安全和使用报告(28页).pdf(28页珍藏版)》请在三个皮匠报告上搜索。
1、Sysdig 2023 云原生安全和使用报告目录01 概要SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告0202 企业在管理供应链风险方面的努力05 数百万美元浪费在未使用的 Kubernetes 资源上04 成熟的组织正在主动测试其安全姿态03 零信任:多说少做06 使用趋势和观点07 方法论08 总结01概要在过去的六年里,我们分享了对客户数据的分析,为社区提供了对容器使用和安全趋势变化的报告。这份报告是基于我们的客户在过去一年中运营的数十亿个容器、数千个云账户和数十万个应用程序所收集的数据。这使我们能够真实地提供容器和云的多种实际使用情况。云安全领域
2、最大的两个风险是错误配置和漏洞,它们通过软件供应链越来越多地被引入到我们的环境中。2023年的报告中我们专门深入探讨了这些数据,我们将这两个安全领域内的 众矢之的 在2023年的报告中做了深入研究。不幸的是,生产环境中运行的 87%容器镜像存在严重或高风险漏洞。尽管团队越来越多地采用左移安全策略来尽早和频繁 review代码,但它们仍需要保证容器运行 时的安全。这一点从 Falco等技术的广泛应用中得到了佐证,作为云原生计算基金会(CNCF)的开 源项目之一,Falco 可以帮助组织在云、容器、主机和 Kubernetes环境中检测运行时威胁。我们的发现让负担过重的开发者看到了希望之光,因为数
3、据显示很多运行在运行时上有漏洞的镜像都可以进行集中修复。只有 15%的高或严重漏洞(存在可用修复方案)在运行时实际被使用。通过基于运行时使用的软件包进行优先处理并筛选,这能够显著减少团队在追踪无尽的漏洞上花费的时间。安全领域将零信任视为头等大事,然而我们的数据显示,零信任架构的基础之一:“最小权限访问权限”并未得到充分执行。实际上,我们发现90%的授权许可未被使用,这为窃取证书的攻击者留下了许多机会。团队需要强制执行最小权限访问权限,因此,这需要了解哪些权限实际上正在被使用。在当前宏观经济挑战下,大多 IT 团队正在研究减少云计算成本的方法。由于这些环境的短暂性,获取有关 Kubernetes
4、 部署的准确利用率和成本信息 或权益调整是一项艰巨的挑战。报告显示超过 72%的容器寿命不到5分钟,这与我们之前的分析结果相比大幅上升。SysdigSysdig20232023 云原生安全和使用报告云原生安全和使用报告ExecutiveSummary3当你将短暂的生命周期与集群密度与今年再次增长的数据相结合时,很明显团队需要寻找控制成本的方法。我们的数据显示,各种规模的团队在其 Kubernetes 环境中可能存在成本超支的情况,最大的部署可能会导致浪费超过 1000 万美元。非常荣幸地向大家呈现Sysdig 2023云原生安全与使用报告。这些信息对于确定容器和云环境的安全和使用状态非常有帮助
5、。这些数据还可以帮助制定网络安全策略和优先事项。我们相信,这些调研结果可以帮助各种规模和各种不同上云阶段的团队。关键趋势安全授予的权限未被使用90%容器镜像有高危或严重的漏洞87%高危或致命漏洞在运行时中被使用15%容器寿命不到5分钟(去年为44%)72%容器使用运行超过1,000个节点的公司可以节省超过1000 万美元的CPU资源未被使用(去年为34%)69%ExecutiveSummary4SysdigSysdig20232023 云原生安全和使用报告云原生安全和使用报告02企业在管理供应链风险方面的努力针对软件供应链的攻击越来越多。SolarWinds 的事件提高了人们对这种风险的警惕性
6、。就在最近发生的事:美国联邦文职行政部门(FCEB)遭受了攻击,它加剧了人们对这类风险的担忧。与此同时,伊朗政府利用 Log4Shell 漏洞部署了一个加密货币挖矿器,通过窃取凭据在 FCEB 环境中持续进行挖矿服务。开发团队越来越依赖开源软件和第三方代码,这也带来了接触已知和未知安全漏洞的风险。“在云原生环境中,漏洞的数量和复杂程度可能会令人不知所措。我们的开发人员和安全团队采取分层方法来审查和分类漏洞的实际风险。通过关注那些具有较高风险的漏洞,即那些被认为是高危或严重级别的漏洞,或者是那些存在的公共漏洞,可以让我们能够有效地优先考虑和集中精力采取强力措施。-Michael Bourgaul
7、t,IT Security Manager,Arkose LabsSysdigSysdig20232023 云原生安全和使用报告云原生安全和使用报告Organizations Struggle to ManageSupply ChainRisk587%的镜像存在高危或严重的漏洞出于像 Log4Shell和Text4Shell 这些备受瞩目的漏洞和攻击工具,加上政府组织对网络安全的加强指导,已经导致许多团队将注意力集中在应用程序安全测试上。即使面对这些备受瞩目的漏洞,实际上解决这一风险的进度仍然很低。令人震惊的是,87%的镜像包含高危或严重的漏洞,比我们去年报告的 75%还要高。当您按照镜像中漏
8、洞数量而不是受漏洞影响的镜像数量来查看数据时,71%的漏洞有可用的修复方案,但尚未应用。请注意,有些镜像可能存在多个漏洞。团队尽管意识到了危险,但在保持软件发布速度的同时解决漏洞仍然是一项挑战。修复被认为是重要的东西:15%的高危和严重漏洞在运行时被使用尽管需要修复的软件漏洞清单好像一眼望不到头,但仍然可以有机会减少时间浪费,转而提高网络安全。根据我们的研究发现,仅有 15%的严重和高危的漏洞在运行时加载的软件包中存在可用的修复方案。通过筛选那些实际使用中的漏洞软件包,组织团队可以将他们的精力集中在修复真正有风险的、有可修复方案的这小部分上。这是一个更具可行性的数字,并且可以缓解一些与发布决策
9、相关的担忧,集中整改工作,前提是组织使用了相关的安全功能。运行时聚焦于“左移”的功效在镜像中每天都会发现新的漏洞,但是在规模化地维护多个Workloads 时,修复每一个漏洞是不切实际的。成功的现代漏洞管理模式,需要安全团队根据漏洞对组织实际风险做评估,综合考虑。SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告Organizations Struggle to ManageSupply ChainRisk6常用于优先考虑漏洞修复工作的方法包括:Common VulnerabilityScoringSystem(CVSS)通用漏洞评分系统-指定已知问题的严重程
10、度 可利用性-表示是否存在已知的利用漏洞的路径 可修复性-标识是否有可用的修复程序来解决漏洞解决正在运行且存在被已知漏洞利用的软件包应该是首要任务。我们发现,我们的客户积极主动地修复易受攻击且在运行时加载的漏洞。当我们结合漏洞的多个标准(修复可用性,易受攻击性和运行时加载的软件包)时,在我们分析的25000 个镜像中找到的漏洞仅占2%。应对不可修补漏洞的风险有些漏洞可以被攻击者使用,但没有可用的修复方案来减缓这些潜在威胁。这些漏洞数量虽小,但意义重大,它们对安全团队产生了极大的影响,因为他们必须评估可利用漏洞的风险,并在没有公共漏洞和暴露(CVE)补丁或修复方案的情况下确定替代的修复策略。当可
11、利用的漏洞必须留存在您的环境中时,安全团队可以通过实施运行时安全检测来减小影响并降低风险。运行时保护通常由一些规则驱动,但也应采用多层方法,包括行为异常检测和基于人工智能(AI)或机器学习(ML)的检测。这种方法提高了零日攻击和尚未知晓威胁的检测和缓解能力。运行时保护机制还可以调整以检测针对组织独特环境中易受攻击 Workloads 的新型威胁。通过来自威胁研究团队的情报,增强检测机制,当有关行为有新信息或发现可用时进行定期更新。只有不到1%的JavaScript包在运行时被使用理想情况下,一个镜像应该只包含完成其工作所需的代码。预打包和开源镜像可能会包含您的应用程序不需要的包,这就被称为镜像
12、膨胀。安全团队可以通过删除第三方镜像中经常出现的、不必要和未使用的软件包来减少总的漏洞数量。SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告Organizations Struggle to ManageSupply ChainRisk7我们对超过630万个运行镜像的包类型进行了研究,以确定最常用的四种包类型。然后,我们分析了这些镜像,以确定哪些类型的包具有最多的冗余数据。结果是 JavaScript 的包数量最多,不到1 的软件包会在运行时被加载。因此,这是减少冗余数据的最佳选择,同时也能最大限度地减少需要修复的漏洞数量。尽管镜像瘦身需要一定的时间,但这样
13、做会减少镜像扫描的时间和漏洞数量。在精简软件包和镜像中投入的时间最终可以节省交付和运行时间成本。如果考虑到云基础设施成本和资源的投入,这些成本是相当可观的。为了最小化镜像的体积,只需包含必要的包,使用最优的基础镜像,合并指令并使用多阶段构建,并确保在 COPY 步骤中列出需要的文件。Java 包的风险最大,占运行时暴露漏洞的六成以上我们计算了运行时加载包的漏洞百分比,根据包的类型来衡量哪种语言、库或文件类型带来的漏洞风险最大。在运行包中的32 万多个漏洞中,Java 包占61%。这个结果有些出乎意料,因为Java 包只占运行时加载的包的24。操作系统(OS)包也是有风险的,因为它们包含了37的
14、漏洞。Golang 是一种较不常见的包类型,但即使考虑到这一点,它的漏洞风险也较低。有趣的是,虽然JavaScript 包更为普遍,但很少有包在运行时加载,如右侧的图表所示。它们所占的漏洞比例要小得多。SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告Organizations Struggle to ManageSupply ChainRisk8选择适合的基础镜像操作系统可以将镜像冗余减少 98%大多数人使用基础镜像是因为比创建我们自己的镜像容易。从我们客户的使用情况来看,Red Hat Enterprise Linux(RHEL),包括Red Hat UB
15、I(通用基础镜像),是最受欢迎的基础镜像,占46%。这比去年增长了10%。这可能是因为RHEL 在企业中有着悠久的使用历史,并且在组织转向云原生workload 时是一个容易让人接受的选择。有意思的是,只有16%的人使用一种轻量级Linux 发行版:Alpine。这一数字较去年下降了,去年为25%。根据crunchtools的数据,标准未压缩的UBI 镜像大小为228MB,而Alpine 镜像仅为5.7MB。通过使用像Alpine 这样的精简基础镜像,企业可以将其容器环境的冗余程度减少97.5,从而减少其攻击面。这也会减少需要修复的操作系统漏洞数量,因为仅有8的漏洞在运行时加载的操作系统软件包
16、中。公共镜像仓库中有危险的镜像在2022 年Sysdig云原生威胁报告中,Sysdig研究团队收集了基于恶意IP 的恶意镜像,或域名和密钥。这些镜像可能会对从Docker Hub 下载和部署公开可用的应用的用户造成风险,增加了被攻击的可能性。在已识别的 1,777 个恶意镜像中,右图图表中显示了包含的恶意内容的类型。SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告Organizations Struggle to ManageSupply ChainRisk903零信任:多说少做1 1Gartner,Gartner,BestBestPracticesPrac
17、ticesforfor OptimizingOptimizing IGAIGA AccessAccessCertification,Certification,GauthamGautham Mudra,Mudra,4 4 AprilApril 2022.2022.GartnerGartneris isa a registeredregisteredtrademarktrademarkandand service service markmarkofof Gartner,Gartner,Inc.Inc.and/orand/or itsitsaffiliatesaffiliatesinin the
18、the U.S.U.S.andandinternationallyinternationallyandandis isusedusedhereinhereinwithwithpermission.permission.AllAll rightsrightsreserved.reserved.漏洞只是云安全范畴的一小部分。配置错误仍然是安全事件中最大的主因,因此这应该是团队最担心的问题之一。根据Gartner 的预测,“到2023 年,75%的安全故障将由身份、访问和权限管理不足引起,而2020 年这一数字为50%。”尽管许多团队正在谈论零信任原则,例如实施最小权限原则,但我们的数据显示,几乎没
19、有行动的证据。授予权限的 90%没有被使用今年我们发现了一个令人震惊的结果:实际使用的权限数量与授予非管理员用户的权限数量之间存在巨大差距。数据显示,在90 天的时间窗口内,仅有10%的非管理员用户被授予的权限被实际利用。我们还发现,管理员仅使用了其权限的一小部分。当然,将权限减少到必需的最小程度,并且最大程度地减少具有管理员权限的用户数量,这对于降低风险至关重要。在组织中,很难确定谁需要什么权限。DevOps 团队往往会授予比所需权限更多的权限,以确保功能正常工作,而安全性次之。此外,云服务供应商及其提供的服务每年增长得非常迅速。不断增加的服务也会增加权限。我们通常会将角色和授权视为人类或传
20、统用户的问题。但应用程序、云服务、商业工具以及许多其他实体(或机器身份)也必须得到适当的认证和授权。类似于手机上的应用程序请求访问您的联系人、照片、相机、麦克风等权限,我们还必须考虑管理这些非人类实体的访问权限。SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告ZeroTrust:Lots of Talk,LittleAction1058%的身份是非人类角色Sysdig 的年度分析表明,我们的客户要么是向更多的员工授予访问权,要么正在完善其身份和访问管理(IAM)实践。前一种情况中,人类用户人数的增长,这些可能只是将更多业务迁移到云环境或因业务增长而增加员工的
21、一些附加产物。团队可以通过减少运行必须受到安全保护和维护的系统所需的机器身份数目,来完善其身份和访问管理实践。去年,我们发现在Sysdig客户的云环境中,88%的身份是非人类角色。而今年,这个比例下降到了58%。至少,团队需要了解所有非人类身份及其相关权限。我们发现,授予非人类身份的权限中有超过 98%在至少90 天内没有被使用。通常,这些未使用的权限被授予给了一个临时的身份,比如过期的测试账户或第三方账户。团队应该像管理人类身份一样,对非人类身份也使用最小特权原则。他们还应该尽可能删除未使用的测试账户,以防止访问风险。虽然手动逐个地确定这些账户很繁琐,但使用权限过滤器和自动生成的建议可以使这
22、个过程更加高效。“对我们来说,关键是要了解我们在哪些地方有过度许可的身份,由于规模较大,我们需要一种自动化的方式来管理它们。试图遵守最小特权的原则,消除过度的权限是一个最重要的安全优先事项。”-Georgia Bekiaridou,Security PO,BSysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告ZeroTrust:Lots of Talk,LittleAction11只有 16%的用户遵守了身份认证的最佳实践去年我们发现有27%的Sysdig客户在进行管理和日常任务时使用了他们云环境中的root 账户。云安全最佳实践和AWS 的CIS 基准指南表明
23、,团队应避免这样做,并建议创建具有有限但适当权限的专用角色来执行管理任务。今年,我们对所有拥有管理员权限的Sysdig客户账户进行了更深入的研究,并决定计算一个风险评分。这些风险评分考虑了客户云账户中安全状况不佳的比例。我们将其定义为拥有管理员访问权限、未启用多因素身份验证(MFA)和账户不活跃达90 天以上的账户。这些都是攻击者喜欢找的条件,因为它们提供了更容易访问账户的方式,并降低了被发现的几率。SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告ZeroTrust:Lots of Talk,LittleAction1204成熟的组织正在主动测试其安全姿态这
24、些普遍存在的情况:未打补丁的漏洞、过度配置的身份和风险配置,更加突出了检测异常行为和立即调查潜在威胁的必要性。MITRE 顶级检测策略:防御规避和特权升级根据我们对Falco 规则与MITRE ATTCK Framework 的分析,我们看到特权升级和防御逃避标记的规则最常被触发。幸运的是,大多数这些事件并没有直观的表明具有实际的恶意攻击,而是归因于客户使用主动威胁分析来了解在哪里实施安全防线。我们看到了这些规则被触发的三个原因,首先有证据表明安全扫描是主因,这表明团队正在积极主动地测试检测和阻止企图入侵的能力。改进测试程序以减少警报疲劳接下来,一些事件是由合法的、需要提升权限的服务触发的。可
25、以通过适当调整规则以针对特定服务来解决这些警报。最后,我们认为一定比例的警报是由于不良实践导致的,可以通过制定并遵循容器安全最佳实践来解决。例如,在实时容器中不应进行软件包管理。软件包管理器会下载工具,运行二进制文件,并进行大量的文件系统更改,这可能触发警报。SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告MatureOrganizations Are ProactivelyTesting Their SecurityPosture13Sysdig威胁研究团队(SysdigTRT)根据自动化威胁源、开源代码的手动分析以及从其托管的“蜜罐”中收集的数据构建Fa
26、lco 规则。任何检测规则都应该由供应商定期进行调整,以适应不断变化的威胁环境,并根据可能引起误报的自身活动进行个性化调整。例如,SysdigTRT 定期更新针对已知和新的恶意活动的规则Outbound Connection to C2 Servers 和Malicious Filenames Written。此外,我们看到我们的客户专注于捕捉与持久性和特权升级规则有关的日志活动。一小部分客户甚至正在修改和定制由Sysdig提供的默认Falco 规则,这表明他们在改善检测并减少误报方面具有安全认知,并在慢慢提高安全成熟度。主要的生态系统供应商正在采用Falco由于未打补丁的漏洞和过度授权身份的
27、存在,突出了运行时安全的需求。容器运行时威胁检测正在成为主流,大型生态系统提供商认识到需要帮助客户解决针对云原生应用程序的安全性问题。主要的云提供商以及许多关键技术供应商正在利用开放标准,并基于Falco 构建和推荐解决方案。BroadBroadadoptionadoption ofof Falco Falco detectiondetectionrulesrulesandand librarieslibrariesFalco,Falco,thethe openopen source source projectprojectcreatedcreatedbybySysdigSysdigFalc
28、oprovides real-time visibility into yourcontainers,hosts,andcloud services,detectingunexpected behavior,intrusions,and data theft.Falcowascreated by Sysdig and contributed to theCloud Native ComputingFoundation(CNCF).AWSFargate serverless runtimesecuritygVisor container sandboxsecurityMicrosoft Defe
29、nder datacollectionHPEEzmeral runtimesecuritySysFlowtelemetryandsecurityDatacollection AnomalydetectionSysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告MatureOrganizations Are ProactivelyTesting Their SecurityPosture1472%的容器寿命不到五分钟容器的寿命本来就很短,过去几年中,近一半的容器寿命都不到五分钟。但是,今年这个数字增长到了70%以上,容器寿命少于五分钟。这是一个巨大的飞跃,强调了持续
30、威胁检测和调查记录的必要性,因为容器可能只存在几秒钟。我们无法确定,但我们推测,随着企业的成熟和使用容器运行更多短期功能(类似于使用无服务器环境的方式),公司的业务会变得更加高效。为什么容器的寿命如此短呢?因为许多容器只需要在执行函数时存在足够长的时间即可,在完成任务后终止。几秒钟可能很短,但对于一些进程来说,这就足够了。容器短暂性仍然是这项技术的独特优势之一,因为容器镜像是可以根据需要进行更改的。然而,这也为监视、安全和合规性带来了问题,因为许多工具无法报告不再存在的实体。83%的容器以root 身份运行由于企业专注于修复漏洞,他们可能没有扫描常见的配置错误。我们看到以root 身份运行的镜
31、像从76%增加到83%,使得有特权的容器有可能被破坏。通过与我们的客户交谈,在实践中,即使在运行时检测到有风险的配置,团队也不会停止这些容器,因为他们不想减缓其部署进度。相反,他们在一个宽限期内运行,然后决定补救措施的步骤。虽然有些容器需要这种级别的权限来执行它们的预期功能,但这个数字高得惊人,而且这种趋势正朝着错误的方向发展。SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告MatureOrganizations Are ProactivelyTesting Their SecurityPosture1505数百万美元浪费在未使用的Kubernetes 资源
32、上在像Kubernetes 这样的短暂、动态的环境中,跟踪成本和使用情况本质上是困难的。团队通常忽略了为容器设置可以使用的资源限制。此外,在允许开发人员选择他自己的容量需求的环境中,可能会导致过度分配的问题,而这些过度分配很少受到审计和调整。在我们最大地区的客户中,我们发现59%的容器没有定义CPU 限制,49%没有定义内存限制。在未使用的资源方面,请求的CPU 核心平均有69%没有被使用,请求的内存平均有18%没有被使用。进一步研究容器效率,我们的内部报告表明,平均而言,69%的容器使用的 CPU 资源请求量少于请求总量的 25%。如果不知道集群的利用率,团队可能会因为过度分配而浪费钱,或者
33、因为资源耗尽而导致性能问题。考虑到AWS 定价的平均成本,拥有大约150 个Kubernetes 节点的团队可能会因为未充分利用CPU 资源而每年多花费高达98 万美元。部署规模更大的公司,即200 至500 个节点之间的公司,可能每年因为未使用的资源而浪费高达130 万美元,而拥有超过1,000 个节点的公司可能每年可以减少高达1080 万美元的浪费开支。Millions Wasted on UnusedKubernetes Resources16SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告06使用趋势和观点持续开发和镜像寿命容器是敏捷管理的理想伴侣,
34、它加速了代码开发和发布,通常作为容器化的微服务。我们的镜像寿命数据反映了代码发布时间间隔的变化,CI/CD 流水线正在帮助开发团队,比以往任何时候都更快速度地交付软件。数据显示,大约有一半的容器镜像在一周或更短的时间内被替换,也可以称为迭代。对于今天的大多数企业来说,快速上市的速度很重要,这对于保持竞争力来说至关重要。代码被更频繁地部署,这就产生了新的容器镜像。容器为企业提供了他们所需要的东西,快速将想法变成现实应用。服务寿命服务是我们应用程序的功能性软件,例如数据库软件、负载均衡器和自定义代码,这些组件不断得到改进。然而,同时,保持服务全天候运行以满足客户期望也同样重要。数据显示,与去年相比
35、,服务寿命保持相对一致。SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告UsageTrendsandInsights17容器仓库容器仓库为托管和管理容器镜像提供了仓库。今年,我们看到Red Hat 和IBM 仓库的采用率都翻了一番。Quay 和Docker 的使用略微降低,总共客户采用率为42%。我们还比较了从公共和私人仓库拉取的容器数量。我们发现,相比去年,公共资源信任度从61%降至56%。使用公共仓库存在风险,因为很少有经过验证或检查漏洞的。在某些情况下,使用公共存储库的方便可能超过风险,但最佳实践是规定哪些存储库被批准用于团队中。私人存储库的使用量同比
36、增长表明团队从公共存储库转向更加安全成熟的存储库。镜像扫描无论容器镜像来自私人还是公共存储库,在部署到生产环境之前扫描它们并识别已知的常见漏洞和公开漏洞是至关重要的。我们评估了客户部署的所有镜像以检测操作系统和非操作系统漏洞。我们发现,操作系统包中的漏洞比非操作系统包少,这可能是因为它们通常由行业供应商支持和维护。操作系统漏洞快照我们注意到,操作系统漏洞中有3%是高危或严重的,相对于去年没有太大变化。虽然这看起来很低,但如果操作系统漏洞被利用,它可能会危及整个镜像并导致应用程序崩溃。此外,操作系统漏洞的影响范围可能很大,因为许多不同的workload 可能同时受到影响。SysdigSysdig
37、2023 2023 云原生安全和使用报告云原生安全和使用报告UsageTrendsandInsights18非操作系统漏洞快照很多团队没有检查第三方库中的漏洞,可能是因为他们认为由别人发布的软件包已经得到了保障并定期维护。我们发现52%的非操作系统软件包存在高危或严重程度的漏洞,与去年相比仅略有减少。开发人员可能会不知不觉地引入来自非操作系统开源软件包(如Python PIP或Ruby Gem)的漏洞,从而引入安全风险。了解第三方依赖关系并确定它们是否真的可以被利用一直是一个挑战,在实践中,组织可以使用运行时上下文增强的方法来提高漏洞检测和修复的效率。在构建阶段 vs 运行时扫描没有迹象表明安
38、全程序的成熟度,关于测试在开发生命周期的哪个阶段进行。在比较镜像工作流程中第一次扫描的位置时,过去一年中这个数字相对不变。运行时扫描如此之高的一个可能原因是由于从供应商下载的第三方软件。这些通常被认为是可信来源,因此DevOps 团队可能会认为镜像是安全的,从而节省了在CI/CD 流水线中进行扫描的时间和精力,从而直接跳到运行时扫描。然而,在“向左移动”的纲领中,最好在CI/CD 流水线中扫描镜像以确保安全性在部署之前。运行时扫描的逐年小幅下降告诉我们,“向左移动”正在开始发生,或者组织正在发展壮大,从供应商提供的镜像转向团队自定义镜像。SysdigSysdig2023 2023 云原生安全和
39、使用报告云原生安全和使用报告UsageTrendsandInsights19容器和 Kubernetes每年,我们都会查看与容器和Kubernetes 相关的详细信息,包括容器密度和生命周期。这给我们提供了对容器采用率的使用信息,同时也展示了规模和效率的具体情况。在本节中,我们还回答了一些问题,比如:客户操作多少个集群?每个节点运行多少个Pod?集群使用了多少容量?我们研究了客户在Kubernetes 上的各种操作细节。由于Sysdig自动收集Kubernetes 的标签和元数据的机制,我们能够为所有数据信息提供云本地化的上下文,从性能指标和告警到安全事件。这种能力还使我们能够捕获从集群到Po
40、d 和容器的使用指标,只需一个简单的查询即可实现。容器密度在过去的六年中,每份报告中每台主机的中位数容器数量都有所增加。今年,该数字再次同比增长了24%,达到平均值57 个。有可能组团队正在学习如何更高效地使用容器,例如使用更大的实例规模或更小的容器。容器的主要目标是加快开发和部署速度,并且许多团队正从容器的效率中受益,增加了硬件资源的利用率。SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告UsageTrendsandInsights20Kubernetes 集群和节点一些客户维护着几个大型的集群,而另一些客户则有多个大小不同的集群。本节的图表展示了Sysd
41、ig平台用户的集群数量和每个集群的节点分布情况。大量单一集群和相对较少的节点数量表明许多企业在使用Kubernetes 上还处于早期阶段。我们也意识到,在公有云中使用托管的Kubernetes 服务是影响这些数据点的另一个因素。今年,我们观察到整体上大型集群数量减少,每个集群的节点数量增加。这可能表明云原生部署开始通过更有效地利用而开始走向成熟。SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告UsageTrendsandInsights21Kubernetes 命名空间、部署和 pods命名空间Kubernetes 命名空间提供了逻辑隔离,有助于在多个用户、
42、团队或应用程序之间组织集群资源。Kubernetes 从三个初始命名空间开始:default、kube-system和kubepublic。命名空间的使用因组织而异,但是云团队通常会为每个应用程序使用一个唯一的命名空间。每个命名空间的部署数量部署描述pod 和ReplicaSets的期望状态,有助于确保一个或多个应用程序实例可用于服务用户请求。部署代表一个由多个相同pod 组成的集合,没有唯一的标识符,例如NGINX、Redis或Tomcat 的部署。每个命名空间的部署数量提供了一个概念,即有多少服务组成了我们用户的微服务应用。今年,我们看到一个轻微的转变,即每个集群有更多的命名空间,每个命名
43、空间有更多的部署。这可能表明这些云原生环境正在发展成熟。SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告UsageTrendsandInsights22PodsPods 是Kubernetes 中最小的可部署对象。它们包含一个或多个容器,共享存储和网络,并包含容器运行的规范。每个节点的 Pods 数量Pod 将一直保留在节点上,直到其进程完成、Pod 被删除、Pod 由于缺乏资源而从节点中驱逐出去,或者节点异常。今年,我们看到了每个集群中Pod 数量的显著增加,54%的客户运行了超过 100 个 Pod。这一数字今年增加到了 62%。同样地,运行每个节点上超
44、过25 个 Pod 的客户数量也从去年的 28%增加到了今年的48%,表明客户正在运行更少的集群(如上所示),并在这些集群上部署更多的 Pod。SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告UsageTrendsandInsights23容器,镜像和告警每个组织的容器数量为了了解企业目前的运营规模,我们研究了每个客户在其基础设施中运行的容器数量。61%的客户运行超过250 个容器。在高级用户中,只有6%的客户管理超过5,000 个容器。DevOps 和云计算团队报告称,一旦证明了收益,采用的速度就会加快,因为更多的业务部门会考虑加入新平台。然而,今年的情况
45、表明,总体上容器数量有所增加。这种转变可能表明,更多的workloads 正在转向容器,远离传统的架构,或者基础设施越来越高效,能够处理越来越多的容器。每个集群的 Daemonsets 数量稳步增长Daemonsets可以确保在Kubernetes集群的每个节点上都运行某项服务。这样可以简单地部署需要在每个地方运行的服务,而无需处理单个配置。然而,作为一个 Daemonset 部署的服务如果使用的资源过多,可能会导致更大的性能问题。关注你的 Daemonset 并确保它们正常运行是至关重要的。我们看到Daemonset的使用增加了,从 2020年 1月平均每个集群6 个,到 2023年 1 月
46、平均每个集群12个。SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告UsageTrendsandInsights24告警对我们客户设置的警报类型趋势的分析帮助我们了解,用户将哪种条件认为对其容器操作最有可能造成破坏的条件。前十种警报条件目前,我们的客户使用了超过800 种独特的告警指标。下面的图表中表示了最常用的告警指标,以及每个使用这些指标的客户的百分比。Kubernetes.node.ready仍然是最常见的,以及重要的资源和可用性指标。这些最常用的告警在过去三年中保持一致。告警途径我们分析了用户配置用于接收告警的通信渠道。今年使用Slack 的用户数量
47、增加,从一年前的36%增加到43%。这很可能是Slack 被用于在正常工作时间内处理非关键性的警报的原因,而像PagerDuty 这样的解决方案则更加适用于“把人从睡梦中唤醒”的告警。向远程工作的转变可能在这里起到了作用,因为随着这一趋势的增长,Slack 的使用量总体上增加一些。使用Webhook 的用户数量也从去年的14%增长到今年的24%。随着工作环境的变化,可能会采用新工具,在此之前,仍会增加Webhook 的使用。SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告UsageTrendsandInsights25这里有一些没有配置通知渠道的告警,但这并
48、不一定是件坏事。这可能是因为该警报仅用于提供信息,或者因为Sysdig平台本身提供了足够的信息来满足相关警报的需求。客户正在运行哪些服务?容器中运行的顶级开源解决方案开源软件已经改变了企业进行计算的方式,不仅为基础设施提供创新动力,还为应用程序开发赋能。Sysdig自动发现容器内的进程,使我们可以立即了解到构成客户在生产中运行的云原生服务的解决方案。以下是Sysdig客户部署的前12 种开源技术:鉴于开源社区提供的各种选择,令人惊讶的是,我们列表中使用最多的服务在过去四年中保持了相当的稳定性。今年,我们看到NGINX、Go(也称为Golang)和Java 都有了显著增长。这很可能是由于云原生开
49、发人员的增加,因为这些服务通常用于在云中构建应用程序。我们故意省略了 Kubernetes 组件,如etcd和fluentd,以及Falco。因为这些组件是默认部署的,它们最终会出现在每个 Kubernetes 用户的列表中。自定义指标SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告UsageTrendsandInsights26自定义指标解决方案为开发人员和DevOps 团队提供了一种方式,以收集唯一的指标来检测某些代码。这种方法已经成为在云生产环境中监控应用程序的流行方式,还包括跟踪和日志分析。Prometheus 保持了强大的领先优势,在所有收集的自定
50、义指标中略有增长,达到89%。StatsD下降了一半,从13%下降到只有6%,而JMX 指标保持不变。随着新的编程框架的广泛使用,像JMX 指标(用于Java 应用程序)和StatsD这样的替代方案继续下降。很明显,随着Prometheus 和Kubernetes 之间的联系越来越紧密,越来越多的组织在向云原生架构转移时喜欢采用Prometheus 指标。07方法论本报告的数据来自于对我们客户每天运行的超过七百万个容器的分析。我们还从GitHub、DockerHub 和CNCF 等公共数据源中提取数据。这些数据源涵盖了各行各业的容器部署,涉及中等市值到大型企业的组织规模。我们分析了来自北美、南
51、美、澳大利亚、欧盟、英国和日本的匿名客户数据。Methodology27SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告08总结企业正在迅速采用容器化微服务、CI/C D和按需的云服务来加快创新。然而,变化如此之快也带来了风险,因为云扩展和云原生应用程序的复杂性暴露了DevSecOps流程的成熟度不足的问题。此外,来自于配置错误和漏洞的供应链风险已经成为一个重要的关注领域。我们的研究表明,尽管人们对所需工具和零信任方法的益处有所认识,但云安全流程仍然落后于云计算应用的快速发展速度。从我们所调查的实际客户数据中可以看出,有几个安全实践领域需要改进以减少风险:身
52、份和访问管理:所授予权限与所需权限之间的巨大差距,表明用户需要定期测量和管理权身份和访问管理:所授予权限与所需权限之间的巨大差距,表明用户需要定期测量和管理权限以减少攻击面。限以减少攻击面。.漏洞管理:在生产环境中运行的大多数容器镜像存在高风险漏洞,团队必须解决镜像冗余的问漏洞管理:在生产环境中运行的大多数容器镜像存在高风险漏洞,团队必须解决镜像冗余的问题,并根据实际运行时风险优先处理漏洞。题,并根据实际运行时风险优先处理漏洞。检测和响应:特权升级和防御逃避攻击是我们客户威胁清单的头号问题。为了在不断变化的检测和响应:特权升级和防御逃避攻击是我们客户威胁清单的头号问题。为了在不断变化的威胁环境
53、中保持领先地位,应定期更新威胁检测规则以便发现恶意活动。威胁环境中保持领先地位,应定期更新威胁检测规则以便发现恶意活动。除了安全外,今年的数据表明,组织可以通过处理未使用的Kubernetes 资源来降低云成本。在容量规划方面投入时间可以获得良好的回报。通过实施适当的容器资源限制和持续监控,组织将能够在不牺牲应用程序性能的情况下控制成本。我们第六期年度报告的主要趋势突显了容器环境持续增长,和越来越依赖开源解决方案,我们需要稳定运行和保护它们的安全。针对云和容器设计的自动化和可扩展工具的市场在不断扩大,这可以帮助团队更有效地发现威胁和风险,避免遗漏,聚焦于具有最大影响力的行动,避免浪费时间。感谢你阅读Sysdig 2023年云原生安全和使用报告。我们期待着在未来的一年里关注和记录容器市场的发展。明年见!Conclusion28SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告