Sysdig2023云原生安全和使用报告 06 使用趋势和观点 07 方法论 08 总结 Sysdig2023云原生安全和使用报告 02 目录 01 概要 02 企业在管理供应链风险方面的努力 03 零信任:多说少做 04 成熟的组织正在主动测试其安全姿态 05 数百万美元浪费在未使用的Kubernetes资源上 01概要 在过去的六年里,我们分享了对客户数据的分析,为社区提供了对容器使用和安全趋势变化的报告 。这份报告是基于我们的客户在过去一年中运营的数十亿个容器、数千个云账户和数十万个应用程序所收集的数据。这使我们能够真实地提供容器和云的多种实际使用情况。 云安全领域最大的两个风险是错误配置和漏洞,它们通过软件供应链越来越多地被引入到我们的环境中。2023年的报告中我们专门深入探讨了这些数据,我们将这两个安全领域内的众矢之的在2023年的报告中做了深入研究。不幸的是,生产环境中运行的87%容器镜像存在严重或高风险漏洞。尽管团队越来越多地采用左移安全策略来尽早和频繁review代码,但它们仍需要保证容器运行时的安全。这一点从Falco等技术的广泛应用中得到了佐证,作为云原生计算基金会(CNCF)的开源项目之一,Falco可以帮助组织在云、容器、主机和Kubernetes环境中检测运行时威胁。 我们的发现让负担过重的开发者看到了希望之光,因为数据显示很多运行在运行时上有漏洞的镜像都可以进行集中修复。只有15%的高或严重漏洞(存在可用修复方案)在运行时实际被使用。通过基于运行时使用的软件包进行优先处理并筛选,这能够显著减少团队在追踪无尽的漏洞上花费的时间。 安全领域将零信任视为头等大事,然而我们的数据显示,零信任架构的基础之一:“最小权限访问权限”并未得到充分执行。实际上,我们发现90%的授权许可未被使用,这为窃取证书的攻击者留下了许多机会。团队需要强制执行最小权限访问权限,因此,这需要了解哪些权限实际上正在被使用。 在当前宏观经济挑战下,大多IT团队正在研究减少云计算成本的方法。由于这些环境的短暂性,获取有关Kubernetes部署的准确利用率和成本信息或权益调整是一项艰巨的挑战。报告显示超过72%的容器寿命不到5分钟,这与我们之前的分析结果相比大幅上升。 Sysdig2023云原生安全和使用报告Executive3 Summary 当你将短暂的生命周期与集群密度与今年再次增长的数据相结合时,很明显团队需要寻找控制成本的方法。我们的数据显示,各种规模的团队在其Kubernetes环境中可能存在成本超支的情况,最大的部署可能会导致浪费超过1000万美元。 非常荣幸地向大家呈现Sysdig2023云原生安全与使用报告。这些信息对于确定容器和云环境的安全和使用状态非常有帮助。这些数据还可以帮助制定网络安全策略和优先事项。我们相信,这些调研结果可以帮助各种规模和各种不同上云阶段的团队。 关键趋势 安全 容器使用 87% 容器镜像有高危或严重的漏洞 运行超过1,000个节点的公司可以节省超过 1000万美元 90% 授予的权限未被使用 72% 容器寿命不到5分钟 (去年为44%) 15% 高危或致命漏洞在运行时中被使用 69% 的CPU资源未被使用(去年为 34%) Sysdig2023云原生安全和使用报告 Executive4 Summary 02企业在管理供应链风险方面的努力 针对软件供应链的攻击越来越多。SolarWinds的事件提高了人们对这种风险的警惕性。就在最近发生的事:美国联邦文职行政部门(FCEB)遭受了攻击,它加剧了人们对这类风险的担忧。与此同时,伊朗政府利用Log4Shell漏洞部署了一个加密货币挖矿器,通过窃取凭据在FCEB环境中持续进行挖矿服务。开发团队越来越依赖开源软件和第三方代码,这也带来了接触已知和未知安全漏洞的风险。 “在云原生环境中,漏洞的数量和复杂程度可能会令人不知所措。我们的开发人员和安全团队采取分层方法来审查和分类漏洞的实际风险。通过关注那些具有较高风险的漏洞,即那些被认为是高危或严重级别的漏洞,或者是那些存在的公共漏洞,可以让我们能够有效地优先考虑和集中精力采取强力措施。 -MichaelBourgault,ITSecurityManager, ArkoseLabs Sysdig2023云原生安全和使用报告OrganizationsStruggletoManageSupplyChain5 Risk 正有风险的、有可修复方案的这小部分上。这是一个更具可行性的数字,并且可以缓解一些与发 布决策相关的担忧,集中整改工作,前提是组织使用了相关的安全功能。 运行时聚焦于“左移”的功效 在镜像中每天都会发现新的漏洞,但是在规模化地维护多个Workloads时,修复每一个漏洞是不切实际的。成功的现代漏洞管理模式,需要安全团队根据漏洞对组织实际风险做评估,综合考虑。 Sysdig2023云原生安全和使用报告 OrganizationsStruggletoManageSupplyChain Risk 6 87%的镜像存在高危或严重的漏洞 出于像Log4Shell和Text4Shell这些备受瞩目的漏洞和攻击工具,加上政府组织对网络安全的加强指导,已经导致许多团队将注意力集中在应用程序安全测试上。即使面对这些备受瞩目的漏洞,实际上解决这一风险的进度仍然很低。 令人震惊的是,87%的镜像包含高危或严重的漏洞,比我们去年报告的75%还要高。当您按照镜像中漏洞数量而不是受漏洞影响的镜像数量来查看数据时,71%的漏洞有可用的修复方案,但尚未应用。请注意,有些镜像可能存在多个漏洞。团队尽管意识到了危险,但在保持软件发布速度的同时解决漏洞仍然是一项挑战。 修复被认为是重要的东西:15%的高危和严重漏洞在运行时被使用 尽管需要修复的软件漏洞清单好像一眼望不到头,但仍然可以有机会减少时间浪费,转而提高网络安全。根据我们的研究发现,仅有15%的严重和高危的漏洞在运行时加载的软件包中存在可用的修复方案。通过筛选那些实际使用中的漏洞软件包,组织团队可以将他们的精力集中在修复真 只有不到1%的 JavaScript包在运行时被使用 理想情况下,一个镜像应该只包含完成其工作所需的代码。预打包和开源镜像可能会包含您的应用程序不需要的包,这就被称为镜像膨胀。安全团队可以通过删除第三方镜像中经常出现的、不必要和未使用的软件包来减 少总的漏洞数量。 Sysdig2023云原生安全和使用报告 常用于优先考虑漏洞修复工作的方法包括: CommonVulnerabilityScoringSystem(CVSS)通用漏洞评分系统-指定已知问题的严重程度 可利用性-表示是否存在已知的利用漏洞的路径 可修复性-标识是否有可用的修复程序来解决漏洞 解决正在运行且存在被已知漏洞利用的软件包应该是首要任务。我们发现,我们的客户积极主动地修复易受攻击且在运行时加载的漏洞。当我们结合漏洞的多个标准(修复可用性,易受攻击性和运行时加载的软件包)时,在我们分析的25000个镜像中找到的漏洞仅占2%。 应对不可修补漏洞的风险 有些漏洞可以被攻击者使用,但没有可用的修复方案来减缓这些潜在威胁。这些漏洞数量虽小,但意义重大,它们对安全团队产生了极大的影响,因为他们必须评估可利用漏洞的风险,并在没有公共漏洞和暴露(CVE)补丁或修复方案的情况下确定替代的修复策略。 当可利用的漏洞必须留存在您的环境中时,安全团队可以通过实施运行时安全检测来减小影响并降低风险。 运行时保护通常由一些规则驱动,但也应采用多层方法,包括行为异常检测和基于人工智能 (AI)或机器学习(ML)的检测。这种方法提高了零日攻击和尚未知晓威胁的检测和缓解能力。运行时保护机制还可以调整以检测针对组织独特环境中易受攻击Workloads的新型威胁。通过来自威胁研究团队的情报,增强检测机制,当有关行为有新信息或发现可用时进行定期更新。 我们对超过630万个运行镜像的包类型进行了研究,以确定最常用的四种包类型。然后,我们分析了这些镜像,以确定哪些类型的包具有最多的冗余数据。结果是JavaScript的包数量最多,不到1%的软件包会在运行时被加载。因此,这是减少冗余数据的最佳选择,同时也能最大限度地减少需要修复的漏洞数量。 尽管镜像瘦身需要一定的时间,但这样做会减少镜像扫描的时间和漏洞数量。在精简软件包和镜像中投入的时间最终可以节省交付和运行时间成本。如果考虑到云基础设施成本和资源的投入,这些成本是相当可观的。为了最小化镜像的体积,只需包含必要的包,使用最优的基础镜像,合并指令并使用多阶段构建,并确保在COPY步骤中列出需要的文件。 Java包的风险最大,占运行时暴露漏洞的六成以上 我们计算了运行时加载包的漏洞百分比,根据包的类型来衡量哪种语言、库或文件类型带来的漏洞风险最大。在运行包中的32万多个漏洞中,Java包占61%。 这个结果有些出乎意料,因为 Java包只占运行时加载的包的24 %。操作系统(OS)包也是有风险的,因为它们包含了37%的漏洞。Golang是一种较不常见的包类型,但即使考虑到这一点,它的漏洞风险也较低。有趣的是,虽然JavaScript包更为普遍,但很少有包在运行时加载,如右侧的图表所示。它们所占的漏洞比例要小得多。 Sysdig2023云原生安全和使用报告 公共镜像仓库中有危险的镜像 在2022年Sysdig云原生威胁报告中,Sysdig研究团队收集了基于恶意IP的恶意镜像,或域名和密钥。这些镜像可能会对从DockerHub下载和部署公开可用的应用的用户造成风险,增加了被攻击的可能性。 在已识别的1,777个恶意镜像中,右图图表中显示了包含的恶意内容的类型。 Sysdig2023云原生安全和使用报告 OrganizationsStruggletoManageSupplyChain Risk 9 选择适合的基础镜像操作系统可以将镜像冗余减少98% 大多数人使用基础镜像是因为比创建我们自己的镜像容易。从我们客户的使用情况来看,RedHatEnterpriseLinux(RHEL),包括RedHatUBI(通用基础镜像),是最受欢迎的基础镜像,占46%。这比去年增长了10%。这可能是因为RHEL在企业中有着悠久的使用历史,并且在组织转向云原生workload时是一个容易让人接受的选择。有意思的是,只有16%的人使用一种轻量级Linux发行版:Alpine。 这一数字较去年下降了,去年为25%。根据crunchtools的数据,标准未压缩的UBI镜像大小为228MB ,而Alpine镜像仅为5.7MB。通过使用像Alpine这样的精简基础镜像,企业可以将其容器环境的冗余程度减少97.5%,从而减少其攻击面。这也会减少需要修复的操作系统漏洞数量,因为仅有8%的漏洞在运 行时加载的操作系统软件包中。 在组织中,很难确定谁需要什么权限。DevOps 团队往往会授予比所需权限更多的权限,以确保功能正常工作,而安全性次之。此外,云服务供应商及其提供的服务每年增长得非常迅速。不断增加的服务也会增加权限。 我们通常会将角色和授权视为人类或传统用户的问题。但应用程序、云服务、商业工具以及许多其他实体(或机器身份)也必须得到适当的认证和授权。类似于手机上的应用程序请求访问您的联系人、照片、相机、麦克风等权限,我们还必须考虑管理这些非人 类实体的访问权限。 1Gartner,BestPracticesforOptimizingIGAAccessCertification,GauthamMudra,4April2022.Gartnerisaregisteredtrademarkandservicemark ofGartner,Inc.and/oritsaffiliatesintheU.S.andinternationallyandisu