赞
踩
容器云安全不止是容器本身的安全,还包括镜像安全、编排(如K8s)安全、微服务安全、宿主操作系统风险等。其防御手段也不仅仅是针对运行时容器进行检测响应,也包括对开发生成的制品进行检查,防患于未然。虽然安全左移并非新概念,但容器云的安全建设相对传统云平台的安全建设,会更注重全生命周期。
容器云安全现状
据《Sysdig 2022 云原生安全和使用报告》显示,超过75%的运行容器存在高危或严重漏洞、62%的容器被检测出包含shell命令、76%的容器使用root权限运行。在我们之前接触的用户案例中,也存在不少企业的容器云允许kubelet被匿名访问,或者整个容器云平台没有任何防护措施,处于“裸奔”状态。诸多信息都表明企业的容器云存在较大安全风险,需要谨慎对待。
早在2018年,某著名车企部署在AWS上的容器集群曾遭黑客植入挖矿木马。2021年初,又有一家企业的Kubernetes集群遭攻击团伙TeamTNT入侵并植入挖矿木马。2021年4月1日,程序审计平台Codecov遭攻击,黑客利用Codecov的Docker镜像创建过程中出现的错误,非法获取脚本权限并对其进行修改,最后将信息发送到 Codecov 基础架构之外的第三方服务器,影响数万名客户。
从重保的角度来看,相对往年2022年8月份举行的攻防演练(HVV)明确了容器失陷的扣分标准,每失陷一个容器扣10分。基于集群与容器的数量关系,如果整个集群被攻陷,丢分会非常严重。
由此我们可以得出结论,不管是真实的网络攻击,还是攻防演练,亦或是合规检查,容器云安全均处于重要位置,企业安全建设部门应当给予足够重视。
早期的容器云安全是缺少国内规范和标准的,厂商与用户只能参考CIS的两个Benchmark,包括K8S和Docker。但随着需求旺盛,相关机构开始组织行业专家编写相关规范,以指导相应的安全建设和产品研发。
除此之外,各个行业或企业也在根据自身特点进行标准制定。
标准规范的推出和成熟,侧面反映了其必要性和重要性,
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。