調查:錯誤配置是容器面臨的最高安全性問題
責編:gltian |2018-11-28 13:30:54盡管DevOps中容器的采用率正在不斷增長,但對其安全性的擔憂依然十分強烈。根據一項最新調查結果顯示,35%的受訪者認為,他們的公司并沒有對容器安全進行充分投資;而另有15%的受訪者認為,他們的公司并沒有認真對待容器威脅。
該數據結果來自StackRox公司針對230名IT員工進行的一項調查——其中近一半的人將IT安全視為自身的主要角色。在這些受訪者中,超過45%的人受雇于擁有10,000多名員工的大型企業,而58%的人受雇于金融科技或技術領域。在這份名為《容器安全狀態》的報告中,StackRox發現,盡管容器和Kubernetes(一個自動化部署、伸縮和操作應用程序容器的開源平臺)的采用率不斷激增,但大多數組織并沒有做好充分保護云原生應用程序的準備。
根據受訪者調查,Docker是最受歡迎的容器運行時(container runtime)——即能夠基于在線獲取的鏡像來創建和運行容器的程序,有189位受訪者使用;而Kubernetes——最初由Google開發——則是最受歡迎的容器協調器,有122位受訪者使用;Docker Swarm是第二大受歡迎的協調器,有93位受訪者(主要來自擁有5,000名或更多員工的大型組織)使用。
調查結果還顯示,40%的受訪者會在混合環境(內部和云端)中操作他們的容器;28%的受訪者只是在云端操作他們的容器;而只在內部操作容器的比例則達到了驚人的32%。就那些在云中的容器而言,118個使用了AWS,56個使用了Azure,還有39個使用了Google Cloud Platform。考慮到谷歌在容器使用和Kubernetes方面的行業領導地位,這個排名確實有些出乎意料。但是,鑒于我們的調查對象主要為大型企業,這一結果也就變得不足為奇了。
此外,高達54%的受訪者表示,容器協調器中的“配置錯誤”是最大的安全問題。這些問題涉及Docker容器和Kubernetes協調器。其中最著名的“容器攻擊”事件包括發生在AWS上的Tesla加密挖掘攻擊事件,以及Shopify發布了有關元數據的漏洞,這兩起事件都是源于對容器協調器的錯誤配置。
2018年2月,RedLock在其一項調查中發現,黑客入侵了Tesla的Kubernetes控制臺,該控制臺沒有密碼保護。在一個Kubernetes Pod中,訪問憑證暴露在Tesla的AWS環境中,該環境包含一個亞馬遜S3存儲桶,該存儲桶有一些敏感數據,比如遙測技術。之后,黑客成功劫持了Kubernetes容器并將其用于加密挖掘活動。當然,這里并不是說Kubernetes本身是不安全的,只是訪問容器所需的復雜性和顆粒度仍需改進——這也正是導致受訪者擔心“錯誤配置”的原因所在。
安全專家解釋稱,Kubernetes所面臨的安全挑戰并不是直接訪問平臺進行登錄并發動攻擊。更確切地說,Kubernetes會經常不經意地出現配置錯誤情況,暴露出很多關鍵部分——例如,儀表板,或是可直接訪問元數據等等,惡意行為者通過這些錯誤配置便能夠發動攻擊活動。
而現如今,容器受DevOps支持的趨勢更是進一步加劇了這種情況,而且對DevOps而言,并不強求有安全團隊的參與,這也導致容器安全情況進一步惡化。
如今,使用容器和配置Kubernetes最頻繁的就是DevOps。對于安全團隊而言,真正的挑戰就是參與進制定保護該基礎架構的政策和指南中來。任何容器安全解決方案的目標都應該是幫助實現“將安全性注入DevOps世界”——以便在利用DevOps便捷性的同時,實現更強大的安全性。
安全專家建議稱,像許多強大的平臺一樣,Kubernetes最好也配置一個抽象層。這個安全抽象層能夠凸顯出錯誤配置并查明風險,例如會使資產面臨風險的非必要開放式通信路徑。
在每一次基礎設施變更浪潮中,人為失誤都是造成大部分安全風險的根源所在,而這種情況對于容器和Kubernetes而言也是一樣。至關重要的是,針對這種基礎架構的安全工具能夠自動標注整個生態系統中最常見的錯誤配置。
以StackRox為例,它就能夠通過簡單地識別所部署容器的廣度來有效地實現資產管理,并保護容器和Kubernetes環境安全。StackRox容器安全平臺有助于保護映像本身,并評估構建過程中的風險,加固環境并減少部署階段的攻擊面,以及在容器“運行時”階段查找和阻止惡意活動。StackRox平臺與Kubernetes和容器生態系統之間的緊密集成,使安全性在整個生命周期內能夠得以實現。
此類安全工具最好由安全團隊進行管理。對容器安全性的關注,應該成為推動企業DevOps向企業Security DevOps轉型的關鍵力量。
DevOps的影響以及容器化和Kubernetes的快速發展,已經使得應用程序開發變得比以往更加無縫、高效和強大。然而,調查結果卻顯示,安全性仍然是企業容器戰略中的一項重大挑戰。容器為DevOps和安全團隊之間的協作提供了自然的橋梁,但它們也帶來了獨特的風險,如果不加以控制,可能會為企業帶來真正的風險。
《容器安全狀態》報告原文:
https://security.stackrox.com/rs/219-UEH-533/images/StackRox-Report-State_of_Container_Security.pdf