《Sysdig 2022云原生安全和使用报告》发现：超过75%的运行容器存在严重漏洞

报告引自：Sysdig 2022 Cloud-Native Security and Usage Report

前不久，《Sysdig 2022年云原生安全和使用报告》正式发布。该报告显示，随着云原生技术的不断成熟，越来越多的企业步入了云原生化的进程，然而由于很多已经使用云原生技术的企业急于求成，云原生的安全和使用体验大打折扣，这也为后续运行埋下了不少的安全隐患。此外，由于业务的运营控制存在滞后性，不合理的规划可能会造成巨大的容器容量资源浪费。这也说明了，云和容器的采用已经进入了一个全新的阶段，然而一些问题也因此显现出来，与缺乏经验的团队一起快速行动很可能会增加风险和成本。

第五份年度报告揭示了各种规模和跨行业的全球Sysdig客户如何使用和保护云和容器环境。这种真实的实时数据提供了对每年运行的数十亿个容器的使用情况的洞察，包括使用趋势以及安全性、合规性、运行时和云实践。

报告要点：

• 75%的正运行容器中存在“高危”或“严重”漏洞
  企业为了快速发展而承担了一定的风险；但是，在生产中运行的85%的镜像至少包含一个可修补的漏洞。此外，75%的镜像含有严重程度为 "高危 "或 "严重"的可修补漏洞。这意味着相当大的风险接受程度，这对高敏捷性的运营模式来说并不罕见，但可能非常危险。
• 每4个账户中就有近3个包含暴露的S3存储桶
  73% 的云账户包含暴露的 S3 存储桶，36%的现有S3存储桶对公众开放访问。与打开的存储桶相关的风险量根据存储在那里的数据的敏感性而有所不同。但是，很少需要让存储桶保持打开状态，这通常是云团队应该避免的捷径。
• 27%的用户拥有不必要的root权限，大多数没有启用MFA
  云安全最佳实践和AWS的CIS基准表明，企业应避免使用根用户进行管理和日常任务，但27%的企业仍然这样做。48%的企业没有在这个高度特权的账户上启用多重身份验证(MFA)，这使得企业在账户凭据泄露或被盗时更容易被攻击。
• 每个集群在云服务提供商账单上超支40万美元以上
  在快速变化的 Kubernetes 环境中，容量管理和规划很困难，并且容器可以使用多少资源的限制可能无法定义。 60% 的容器没有定义CPU限制，51%没有定义内存限制。在那些有 CPU 限制的集群中，平均有34%的CPU内核资源未使用。如果不了解集群的使用情况，企业可能会由于过度分配而造成资金浪费，或者由于耗尽资源而导致性能问题。我们来算一算，考虑到 Amazon Web Services CPU 定价的平均成本，一个拥有 20个Kubernetes集群的企业由于 CPU资源未被充分利用，每年可能要多花费40万美元。

其他发现：

• 在企业的云环境中，非自然人角色超过了自然人，只有12% 的角色分配给自然人用户。非自然人角色可以由用户承担来执行特定的任务，也可以由应用程序、服务提供者或其他第三方工具使用。这里的最佳实践是遵循最少权限原则，明确地为每个角色分配最少的必要权限。但事与愿违，由于更高的权限可以使操作更容易、更快，大多数用户和角色都被授予过多的权限，这就会给企业增加一定的风险。
• 容器密度在2021年再次增长，同比增长了近15%，四年内增长了360%。随着容器密度的增加，设置资源限制变得更加重要，然而由于DevOps团队急于扩展云环境，通常没有遵循最佳实践。
• 以root身份运行的容器继续增加。48%的图像在运行前被扫描，然而76%的容器以root身份运行，比去年增加了31%。对最佳实践的缓慢采用可能表明，尚未发展其DevSecOps流程的企业广泛采用容器技术，而有特权的容器更容易被攻击者破坏。

安全性高于一切：灵雀云ACP的云原生安全实践

在云原生安全策略方面，Sysdig认为，云原生安全防护的核心在于规则。规则定义和维护，都需要安全人员基于自身安全策略的规则进行定义和维护，由于规则的定制化还可能存在规则被绕过的情况，只有融入到具体情况千差万别的生产环境中，安全运营团队持续地采用多种检测手段交叉验证、形成闭环，才能真正有效发挥作用。

灵雀云在云原生安全实践时也秉持着同样的安全策略。为了更好地帮助企业用户实现云原生转型的平稳过渡，完成数字化转型，灵雀云始终把产品和服务的安全性放在首位，通过以下几点构筑了强大的云原生安全防线：

• 完善的用户安全策略
  为确保用户登录安全，灵雀云ACP支持设置用户安全策略，包括密码安全、用户禁用、用户锁定、密码通知、访问控制等策略。提升平台用户的安全性，降低恶意攻击风险。
• 有效的容器安全管理
  灵雀云ACP支持容器安全能力，系统提供强大的内置规则库，通过对容器的系统调用行为进行监控，当容器发生存在安全隐患的行为时则触发告警，并可自动向安全负责人发送安全规则告警消息，以便相关人员及时排除安全隐患、修复安全漏洞，确保系统的容器运行时安全。
• 服务化的IT安全治理
  支持中小型企业的多租户管理场景，实现细粒度权限控制和自助IT治理；统一管理和监控不同基础设施环境上的资源，通过安全审计机制，保障系统安全性。
• 全生命周期的DevSecOps
  在应用的整个生命周期内确保安全性；实现安全防护自动化，以保护整体环境和数据；同时在构建/测试/部署过程中通过配置安全策略（比如镜像漏洞扫描策略、代码安全扫描策略）来保证应用整体的安全性；通过自动执行统一的安全质量标准，从而确保组织交付更安全的软件；支持集成适用于容器的安全性扫描程序。

了解更多：

关注“灵雀云”微信公众号，详细了解灵雀云ACP如何协助您完成云原生安全构建，与灵雀云工程师一起规划探讨，云原生安全最佳实践。
发送“云原生安全”至“灵雀云”微信公众号，下载完整的《Sysdig 2022年云原生安全和使用报告》。