信息化觀察網(wǎng)

根據(jù)安全公司StackRox的一項新調(diào)查，在Kubernetes和容器部署方面，企業(yè)在安全性方面存在嚴(yán)重問題。

StackRox研究人員在2020年發(fā)布的《容器和Kubernetes狀態(tài)報告》中發(fā)現(xiàn)，有94％的受訪者在過去12個月內(nèi)在其Kubernetes和容器環(huán)境中經(jīng)歷了安全事件。

如此大量的安全事件導(dǎo)致大約44％的組織延遲或完全停止將應(yīng)用程序部署到生產(chǎn)中。

研究人員與540多名IT專業(yè)人員進(jìn)行了交談，其中大多數(shù)人為從事金融服務(wù)的科技公司或組織工作。

StackRox首席執(zhí)行官Kamal Shah表示：“我們的調(diào)查數(shù)據(jù)肯定了我們從客戶那里聽到的消息，當(dāng)客戶尋求在生產(chǎn)中部署容器和Kubernetes應(yīng)用程序時，安全已成為重中之重。

“組織需要高管的支持–挑戰(zhàn)是了解安全性和合規(guī)性要求，以便可以在應(yīng)用程序開發(fā)生命周期的早期解決它們，并防止延遲應(yīng)用程序部署。”

在過去的五年中，公司一直渴望將容器，Kubernetes和微服務(wù)應(yīng)用程序結(jié)合在一起，以促進(jìn)企業(yè)IT創(chuàng)新并促進(jìn)數(shù)字化轉(zhuǎn)型。

但是由于擔(dān)心容器或Kubernetes的安全性，幾乎所有受訪者中有一半不得不推遲應(yīng)用程序的發(fā)布。

在94％的受訪者承認(rèn)存在安全事件，其中69％的受訪者表示他們經(jīng)歷了配置錯誤事件，另外27％的受訪者說他們在運行時發(fā)生了安全事件。將近25％的人報告說有一個重大漏洞需要補(bǔ)救。

由于配置錯誤而導(dǎo)致的暴露被認(rèn)為是其容器和Kubernetes環(huán)境最相關(guān)的安全風(fēng)險。超過60％的受訪者將其作為主要關(guān)注點，另有27％的受訪者告訴StackRox研究人員漏洞也是一個大問題。

錯誤配置的事件特別嚴(yán)重，因為要找到能夠處理容器和Kubernetes中復(fù)雜的旋鈕和轉(zhuǎn)盤的技術(shù)人才可能具有很大的挑戰(zhàn)性。

報告稱，即使是經(jīng)驗豐富的開發(fā)人員也難以管理容器和Kubernetes，許多數(shù)據(jù)泄露和暴露都是人為錯誤造成的。超過20％的企業(yè)經(jīng)歷了兩種或更多種類型的安全事件。

“公司了解，如果沒有正確的安全性，他們將無法實現(xiàn)容器和Kubernetes的優(yōu)勢。要看到如此大的比例（占44％），他們承認(rèn)由于安全方面的考慮，他們已將應(yīng)用程序部署減慢或停止了生產(chǎn)，這意味著這些公司無法實現(xiàn)移至容器的主要優(yōu)勢-更快的應(yīng)用交付-”報告說。

“這項對541位受訪者的調(diào)查結(jié)果清楚地表明，組織由于無法確保安全地構(gòu)建，部署和運行其云原生資產(chǎn)，而使更快的應(yīng)用程序開發(fā)和發(fā)布的核心利益處于危險之中”。

報告說：“由于組織中普遍存在錯誤配置，因此必須將安全性向左移動以嵌入到DevOps工作流中，而不是在將應(yīng)用程序部署到生產(chǎn)中時'激活'。“由于安全問題，近一半的受訪者推遲了生產(chǎn)，顯然缺乏安全性阻礙了業(yè)務(wù)的加速和創(chuàng)新。”

該研究稱，IT部門對容器使用的策略最普遍的擔(dān)憂是，安全性投資連續(xù)第三次下滑。將近40％的受訪者表示投資不足是他們的主要擔(dān)憂，而另有14％的受訪者表示他們的組織沒有認(rèn)真對待對集裝箱的威脅。超過一半的受訪者表示，安全是他們最大的擔(dān)憂。

有跡象表明這個問題已得到解決，StackRox研究人員表示，受訪者表示他們的安全策略不夠詳細(xì)，下降了35％。根據(jù)這項研究，采用中級或高級策略的受訪者數(shù)量從41％增長到48％。

調(diào)查還發(fā)現(xiàn)，最受歡迎的用于部署容器的體系結(jié)構(gòu)模型是混合的，因為46％的受訪者表示他們既在本地又在云中運行它。超過50％的調(diào)查受訪者表示，他們在單個云平臺上運行了容器，而35％的用戶在多個公共云上運行了容器。