2019年度容器安全現狀分析

隨著越來越多的組織向微服務/DevOps轉型，容器生態系統每年都會發生很大的變化。近期，Sysdig釋出了《2019年度容器使用報告》，報告中大篇幅的介紹了2019年容器生態下的安全現狀問題。

報告基於2,000,000個執行於生產環境中的容器收集的真實資料，從多個角度，分析了這一年來，容器生態系統所發生的變化，樣本數量幾乎是去年（90,000）的22倍多。

相比較2018年的報告，今年的這個報告有以下幾個特點：

（1）從題目上看，2018年之前的報告都是Docker年度使用報告，今年將Docker改為了Container，這也體現了在生態系統中容器執行時的廣度有所擴大；

（2）樣本數較去年增加了22倍多，所有的統計資料來源於線上客戶真實的業務資料，這樣的資料增長，說明在容器環境中的安全需求與安全建設發生了飛速的發展；

（3）報告中首次增加容器環境安全相關的現狀資料。

下面本文將著重解讀2019年容器環境的安全現狀。

1.Docker+K8S仍然是主流技術路線選擇

rkt、lxc、mesos等容器執行時已經幾乎很少見，docker和containerd基本成為容器執行時的主流實現。

在編排工具上，毫無懸念的Kubernetes佔據了榜首，加上OpenShift以及Rancher，其佔有比例達到了89%，Swarm從2018年的11%降到了5%。

2.映象安全問題仍然突出

在使用者的生產環境中，有40%的映象來源於公開的映象倉庫。

映象的漏洞問題依然十分突出，連續5天對應用到生產環境中的映象進行漏洞掃描，通過率僅為48%。

3.安全配置規範應用情況不理想

CIS等安全配置規範，在生產環境中落實情況並不是很理想，主要體現在禁用了seccomp、沒有設定SELinux、AppArmor、以root/特權模式執行等問題。

4.執行時安全

通過Falco的監控，執行時安全威脅Top10主要體現在了寫/etc目錄、寫/root目錄、建立特權容器、更改執行緒名稱空間、建立掛載敏感目錄的容器、獲取sudo許可權、嘗試在二進位制目錄下寫檔案、異常執行shell、系統程式處理網路行為、shell登入容器。

Kubernetes的node ready、CPU利用率、Memory利用率等成為主要的運維告警項。

總體來說，報告從多個角度展示了容器生態，尤其是容器環境的安全現狀。對比前兩年的報告，一方面可以看出，容器在計算環境中扮演了越來越重要的角色，另一方面，容器生態的安全問題，也是越來越多的引起容器使用者的關注。掃描文末二維碼，關注公眾號，回覆“2019”，即可下載報告原文。