2019年度容器安全現狀分析

綠盟科技發表於2019-11-25

隨著越來越多的組織向微服務/DevOps轉型,容器生態系統每年都會發生很大的變化。近期,Sysdig釋出了《2019年度容器使用報告》,報告中大篇幅的介紹了2019年容器生態下的安全現狀問題。

報告基於2,000,000個執行於生產環境中的容器收集的真實資料,從多個角度,分析了這一年來,容器生態系統所發生的變化,樣本數量幾乎是去年(90,000)的22倍多。

相比較2018年的報告,今年的這個報告有以下幾個特點:

(1)從題目上看,2018年之前的報告都是Docker年度使用報告,今年將Docker改為了Container,這也體現了在生態系統中容器執行時的廣度有所擴大;

(2)樣本數較去年增加了22倍多,所有的統計資料來源於線上客戶真實的業務資料,這樣的資料增長,說明在容器環境中的安全需求與安全建設發生了飛速的發展;

(3)報告中首次增加容器環境安全相關的現狀資料。

下面本文將著重解讀2019年容器環境的安全現狀。

1.Docker+K8S仍然是主流技術路線選擇

rkt、lxc、mesos等容器執行時已經幾乎很少見,docker和containerd基本成為容器執行時的主流實現。

2019年度容器安全現狀分析

在編排工具上,毫無懸念的Kubernetes佔據了榜首,加上OpenShift以及Rancher,其佔有比例達到了89%,Swarm從2018年的11%降到了5%。

2019年度容器安全現狀分析

2.映象安全問題仍然突出

在使用者的生產環境中,有40%的映象來源於公開的映象倉庫。

2019年度容器安全現狀分析

映象的漏洞問題依然十分突出,連續5天對應用到生產環境中的映象進行漏洞掃描,通過率僅為48%。

2019年度容器安全現狀分析

3.安全配置規範應用情況不理想

CIS等安全配置規範,在生產環境中落實情況並不是很理想,主要體現在禁用了seccomp、沒有設定SELinux、AppArmor、以root/特權模式執行等問題。

2019年度容器安全現狀分析

4.執行時安全

通過Falco的監控,執行時安全威脅Top10主要體現在了寫/etc目錄、寫/root目錄、建立特權容器、更改執行緒名稱空間、建立掛載敏感目錄的容器、獲取sudo許可權、嘗試在二進位制目錄下寫檔案、異常執行shell、系統程式處理網路行為、shell登入容器。

2019年度容器安全現狀分析

Kubernetes的node ready、CPU利用率、Memory利用率等成為主要的運維告警項。

2019年度容器安全現狀分析

總體來說,報告從多個角度展示了容器生態,尤其是容器環境的安全現狀。對比前兩年的報告,一方面可以看出,容器在計算環境中扮演了越來越重要的角色,另一方面,容器生態的安全問題,也是越來越多的引起容器使用者的關注。掃描文末二維碼,關注公眾號,回覆“2019”,即可下載報告原文。

相關文章