2022云原生安全发展24个洞见

今天，云原生技术为企业带来快速交付的优势之外,也带来了新的安全要求与挑战。一方面，新技术（容器、编排、DevOps、微服务）的引入带来了新安全问题，如镜像的供应链问题、容器的逃逸问题、集群的横向移动问题、微服务的边界问题等，需要引入新的安全防护手段；另一方面，云原生持续开发/集成的开发模式的转变，传统安全无法适配新的开发节奏和安全要求。

在长期跟踪容器安全的研究之后，本文基于各类材料，重点对容器发展、容器镜像安全、K8S发展的技术趋势进行整理分析，与各位业内安全同仁分享，为守护云原生安全的发展贡献一份力量。

01容器生态发展8大洞见

与传统部署相比，安全专家和管理员在容器化环境中需要保护的组件更多、更复杂，涉及容器和底层基础设施，需要将安全集成到开发管道中，才能确保所有组件从最初的开发阶段到其生命周期结束都受到保护。

洞见1：超过一半的组织运行容器数量大于250个，有6%的人管理超过5,000个容器（如图1所示）。这表明越来越多的工作负载正在转向容器并远离传统架构。

图1 运行容器的数量

洞见2：每台主机上容器数量中位数都有所增加，2020年同比增长了33%，2021年同比增长12%，达到了46个（如图2所示），许多组织正受益于硬件资源利用率的提高。

图2 每个主机上容器数量中值

洞见3：大约44%容器存活时间不到五分钟（如图3所示），许多容器只需要足够长的时间来执行一个函数，几秒钟可能看起来很短，但对于某些流程来说已足够。这表明容器的短暂性仍然是该技术的独特优势之一，但也带来了新的挑战，包括监控、安全性和合规性等新问题。

图3 容器的生命周期

洞见4：在容器运行时使用上，Docker采用占46%，首次跌破50%，但Docker仍然是组织中使用最多的容器运行时（如图4所示）。