Hello folks�,我是 Luga�,今天我們來分享一下基于 Sysdig 公司所整理的 2023 云原生安全和使用報告,主要涉及容器使用和雲(yún)原生安全 2 方面����,具體內(nèi)容如下文所示。
第六份年度 Sysdig 云原生安全和使用報告深入探討了各種規(guī)模和行業(yè)的 Sysdig 客戶如何使用�、保護云和容器環(huán)境并為其付費。我們檢查了數(shù)據(jù)并發(fā)現(xiàn)了一些有趣的趨勢�����,這些趨勢可能會幫助我們開發(fā)最佳實踐來保護和監(jiān)控所構(gòu)建的云原生環(huán)境���。
今年的報告有關(guān)于云安全��、容器漏洞和 Kubernetes 成本優(yōu)化的新數(shù)據(jù)����。繼續(xù)閱讀以了解大家的看法�����!
(相關(guān)資料圖)
—1—
數(shù)據(jù)的獲取
因為我們的軟件監(jiān)控云安全�、容器安全以及容器使用情況���,所以我們對組織如何在云原生環(huán)境中使用云服務(wù)、Kubernetes���、注冊表����、警報和應(yīng)用程序有獨特的看法�。這種真實世界的實時數(shù)據(jù)提供了對我們的一部分客戶每天運行的數(shù)百萬個容器的使用情況的洞察�����,以及過去一年中數(shù)十億個獨特容器的使用情況���。該報告詳細介紹了安全風險�����、云成本和容器使用趨勢�。
—2—
供應(yīng)鏈風險
我們的研究表明����,87% 的容器鏡像存在高?��;驀乐芈┒础,F(xiàn)實情況是有太多的漏洞需要修復(fù)���,而團隊也在為如何確定它們的優(yōu)先級而苦苦掙扎�。事實上����,85% 的嚴重漏洞和高漏洞都有可用的修復(fù)程序,但在可被利用的運行時并未使用��。
團隊正在將時間和資源浪費在對他們的組織沒有風險的漏洞上��,并且沒有修補高風險漏洞�����。通過專注于運行時暴露的內(nèi)容����,團隊可以專注于最重要的 15% 的漏洞。
—3—
過于寬松的訪問
云安全最佳實踐和零信任架構(gòu)原則強調(diào)組織應(yīng)避免授予過于寬松的訪問權(quán)限��。然而����,報告中的數(shù)據(jù)顯示 90% 的權(quán)限未使用�����。如果攻擊者破壞了具有特權(quán)訪問或過度權(quán)限的身份的憑據(jù)�����,他們將擁有我們所構(gòu)建云環(huán)境中王國的鑰匙����。
—4—
云成本和未使用的容量
我們發(fā)現(xiàn) 59% 的容器沒有定義 CPU 限制�����,并且 69% 的請求 CPU 資源未被使用�����。如果沒有 Kubernetes Cluster 環(huán)境的利用率信息�,開發(fā)人員就不知道他們的云資源在哪里分配過多或分配不足���。對于大型部署�����,優(yōu)化環(huán)境平均可以節(jié)省 1000 萬美元的云消費費用�����。平均而言�,各種規(guī)模的組織都可能超支 40%。
—5—
容器壽命短暫化
今年的數(shù)據(jù)顯示����,72% 的容器現(xiàn)在存活不到五分鐘!事件響應(yīng)和取證團隊需要有準確的記錄����,以防在容器消失后必須調(diào)查事件。工程團隊還需要類似的數(shù)據(jù)來進行應(yīng)用程序和基礎(chǔ)架構(gòu)故障排除�����。由于容器持續(xù)時間如此短���,收集這些信息變得越來越困難�����。
我們的研究表明��,盡管人們意識到所需的工具和零信任方法的好處����,但云安全流程仍然落后于云采用的快速步伐。根據(jù)我們檢查的真實客戶數(shù)據(jù)�����,有如下幾個安全實踐領(lǐng)域需要改進以降低風險:
1�、身份和訪問管理:授予的權(quán)限與所需權(quán)限之間的巨大差異凸顯了定期衡量和管理權(quán)限以減少攻擊機會的迫切需要。
2����、漏洞管理:由于大多數(shù)容器鏡像在生產(chǎn)中運行時都存在風險漏洞,因此���,團隊必須解決鏡像膨脹問題,并根據(jù)實際運行時風險對漏洞進行優(yōu)先級排序���,從而集中精力進行補救�。
3、檢測和響應(yīng):特權(quán)升級和防御規(guī)避攻擊是我們客戶面臨的首要威脅���。為了領(lǐng)先于不斷變化的威脅形勢���,應(yīng)定期更新威脅檢測規(guī)則以發(fā)現(xiàn)惡意活動。
除了安全性之外���,今年的數(shù)據(jù)還表明組織有機會通過處理未使用的 Kubernetes 資源來降低云成本��,在容量規(guī)劃上投入時間可以產(chǎn)生豐厚的回報����。通過實施適當?shù)娜萜髻Y源限制和持續(xù)監(jiān)控�,組織將能夠在不影響應(yīng)用程序性能的情況下達到降本增效。
Adiós !
作者 | MICHAEL ISBITSKI 譯者 | Luga Lee 策劃 | Luga Lee
··································
Hello folks�,我是 Luga,一個10年+技術(shù)老司機��,從IT屌絲折騰到碼畜�,最后到“醬油“架構(gòu)師。如果你喜歡技術(shù)�����,不喜歡呻吟,那么恭喜你����,來對地方了,關(guān)注我�����,共同學習����、進步、超越~
您的每一個點贊�、在看及分享,我都認真當成了喜歡 ~
滾動