调查：错误配置是容器面临的最高安全性问题

尽管DevOps中容器的采用率正在不断增长，但对其安全性的担忧依然十分强烈。根据一项最新调查结果显示，35%的受访者认为，他们的公司并没有对容器安全进行充分投资；而另有15%的受访者认为，他们的公司并没有认真对待容器威胁。

该数据结果来自StackRox公司针对230名IT员工进行的一项调查——其中近一半的人将IT安全视为自身的主要角色。在这些受访者中，超过45%的人受雇于拥有10,000多名员工的大型企业，而58%的人受雇于金融科技或技术领域。在这份名为《容器安全状态》的报告中，StackRox发现，尽管容器和Kubernetes（一个自动化部署、伸缩和操作应用程序容器的开源平台）的采用率不断激增，但大多数组织并没有做好充分保护云原生应用程序的准备。

根据受访者调查，Docker是最受欢迎的容器运行时（container runtime）——即能够基于在线获取的镜像来创建和运行容器的程序，有189位受访者使用；而Kubernetes——最初由Google开发——则是最受欢迎的容器协调器，有122位受访者使用；Docker Swarm是第二大受欢迎的协调器，有93位受访者（主要来自拥有5,000名或更多员工的大型组织）使用。

调查结果还显示，40%的受访者会在混合环境（内部和云端）中操作他们的容器；28%的受访者只是在云端操作他们的容器；而只在内部操作容器的比例则达到了惊人的32%。就那些在云中的容器而言，118个使用了AWS，56个使用了Azure，还有39个使用了Google Cloud Platform。考虑到谷歌在容器使用和Kubernetes方面的行业领导地位，这个排名确实有些出乎意料。但是，鉴于我们的调查对象主要为大型企业，这一结果也就变得不足为奇了。

此外，高达54%的受访者表示，容器协调器中的“配置错误”是最大的安全问题。这些问题涉及 Docker 容器和Kubernetes协调器。其中最著名的“容器攻击”事件包括发生在AWS上的Tesla加密挖掘攻击事件，以及Shopify发布了有关元数据的漏洞，这两起事件都是源于对容器协调器的错误配置。

2018年2月，RedLock在其一项调查中发现，黑客入侵了Tesla的Kubernetes控制台，该控制台没有密码保护。在一个Kubernetes Pod中，访问凭证暴露在Tesla的AWS环境中，该环境包含一个亚马逊S3存储桶，该存储桶有一些敏感数据，比如遥测技术。之后，黑客成功劫持了Kubernetes容器并将其用于加密挖掘活动。当然， 这里并不是说Kubernetes本身是不安全的，只是访问容器所需的复杂性和颗粒度仍需改进——这也正是导致受访者担心“错误配置”的原因所在 。

安全专家解释称，Kubernetes所面临的安全挑战并不是直接访问平台进行登录并发动攻击。更确切地说，Kubernetes会经常不经意地出现配置错误情况，暴露出很多关键部分——例如，仪表板，或是可直接访问元数据等等，恶意行为者通过这些错误配置便能够发动攻击活动。

而现如今，容器受DevOps支持的趋势更是进一步加剧了这种情况，而且对DevOps而言，并不强求有安全团队的参与，这也导致容器安全情况进一步恶化。

如今，使用容器和配置Kubernetes最频繁的就是DevOps。对于安全团队而言，真正的挑战就是参与进制定保护该基础架构的政策和指南中来。任何容器安全解决方案的目标都应该是帮助实现“将安全性注入DevOps世界”——以便在利用DevOps便捷性的同时，实现更强大的安全性。

安全专家建议称，像许多强大的平台一样，Kubernetes最好也配置一个抽象层。这个安全抽象层能够凸显出错误配置并查明风险，例如会使资产面临风险的非必要开放式通信路径。

在每一次基础设施变更浪潮中，人为失误都是造成大部分安全风险的根源所在，而这种情况对于容器和Kubernetes而言也是一样。至关重要的是，针对这种基础架构的安全 工具 能够自动标注整个生态系统中最常见的错误配置。

以StackRox为例，它就能够通过简单地识别所部署容器的广度来有效地实现资产管理，并保护容器和Kubernetes环境安全。StackRox容器安全平台有助于保护映像本身，并评估构建过程中的风险，加固环境并减少部署阶段的攻击面，以及在容器“运行时”阶段查找和阻止恶意活动。StackRox平台与Kubernetes和容器生态系统之间的紧密集成，使安全性在整个生命周期内能够得以实现。

此类安全工具最好由安全团队进行管理。对容器安全性的关注，应该成为推动企业DevOps向企业Security DevOps转型的关键力量。

DevOps的影响以及容器化和Kubernetes的快速发展，已经使得应用程序开发变得比以往更加无缝、高效和强大。然而，调查结果却显示，安全性仍然是企业容器战略中的一项重大挑战。容器为DevOps和安全团队之间的协作提供了自然的桥梁，但它们也带来了独特的风险，如果不加以控制，可能会为企业带来真正的风险。

《容器安全状态》报告原文：

https://security.stackrox.com/rs/219-UEH-533/images/StackRox-Report-State_of_Container_Security.pdf

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。