《Kubernetes 安全防护状况报告》 2024版 红帽调查报告 执行摘要 关于本报告重要发现 发安现全1:问题影响业务成果 发安现全2漏:洞会对所有人造成 影响 发在现生3命:周期的所有阶段都 会发生安全事件 发安现全4策:略令人担忧发安现全5责:任分散 DevSecOps实践很普遍 发现7: 发现6: Kubernetes带来新的安 全挑战 发企现业8组:织致力于解决高风 险问题 发安现全9问:题可能导致严重的 后果 发风现险10管:理对于软件供应链 来说至关重要 发对现软11件:供应链安全性的担 忧真实存在 发有现助12于:提升软件供应链安 全性的工具 发企现业13组:织利用开源工具实 现Kubernetes安全防护 增的强安容全器性和Kubernetes 关于我们的受访者 开高始级使集用群红安帽全防Ku护bernetes 内容摘要 云原生技术正在改变企业组织开发、部署和扩展应用的方式。云基础架构可扩展、敏捷且灵活,企业组织借助它能够缩短产品上市时间、提高效率并增强创新能力。然而,由于网络攻击变得日益复杂,企业组织必须采取强大的安全措施,在混合云环境中保护敏感数据、防止数据泄露以及遵守监管标准。为了实现这一目标,许多IT企业组织纷纷投资先进的安全防护平台,并实施安全至上的协作式流程,保护关键系统、工作负载和数据。事实上,近50%的公司优先将资金投入到了IT安全防护领域。1 红帽和Illuminas将容器工作负载和Kubernetes作为重点,针对全球各种规模的企业组织内部DevOps、工程和安全防护专业人士开展了调查。2024版《Kubernetes安全状况报告》根据这些数据编写而成,探讨了企业组织目前在云原生安全防护领域遇到的一些最常见挑战,以及这些挑战对业务造成的影响。我们调查了企业组织最关注的一些特定安全风险(包括软件供应链和应用运行时漏洞),以及企业组织为化解这些问题所采取的措施;确定了企业组织在Kubernetes环境中遇到的安全事件的类型和频率;研究了开发、安全防护和运维团队各自所承担的Kubernetes安全防护责任比例,揭示了最新的DevSecOps采用趋势;最后,我们提供了一些指导,帮助客户降低应用生命周期内出现风险的几率。 尽管实现全面的容器和Kubernetes安全防护具有挑战性,但这可帮助您加快创新速度,为企业组织带来更多价值。利用我们的调查结果,您 可以评估自己的Kubernetes安全防护水平,发现需要改进的方面,并 深入了解如何缩小安全防护差距。通过不断改进安全措施,您可以保护关键业务资产并主动进行安全防护,确保基础架构和应用功能完备且具有弹性。 请继续阅读,了解红帽调查获得的13项重要发现。 1红帽报告。“2024年全球技术趋势”,2024年2月。2 关于本报告 2024版《Kubernetes安全状况报告》是根据红帽赞助的一项针对美国 U.S. U.K. APAC 600 DevOps ()、英国()和亚太地区()名、工程 和安全专业人士的调查结果编写而成,这项调查的目的是了解容器、Kubernetes和云原生安全防护方面的新兴趋势。相关数据是通过对受访者进行21分钟的网上访谈和电话访谈的形式收集的,这些受访者来自在线样本库和第三方数据库。调查时间为2023年12月至2024年1月。 受访者概况: ►专注于应用、平台、基础架构、运维、安全防护或者软件架构或开发 的IT专业人士 ►来自拥有超过100名员工的公司 ►来自拥有内部应用开发团队的公司 ►来自目前使用容器的公司 受访者统计数据 600 收集到的回复总数 DevOps 工程专业人士安专全业防人护士 专业人士 26%科技 执行摘要 关于本报告重要发现 发安现全1:问题影响业务成果 发安现全2漏:洞会对所有人造成 影响 发在现生3命:周期的所有阶段都 会发生安全事件 发安现全4策:略令人担忧发安现全5责:任分散 DevSecOps实践很普遍 发现7: 发现6: Kubernetes带来新的安 全挑战 发企现业8组:织致力于解决高风 险问题 发现全9问:题可能导致严重的 后果 发风现险10管:理对于软件供应链 来说至关重要 发对现软11件:供应链安全性的担 忧真实存在 发有现助12于:提升软件供应链安 全性的工具 发企现业13组:织利用开源工具实 现Kubernetes安全防护 增的强安容全器性和Kubernetes 关于我们的受访者 开高始级使集用群红安帽全防Ku护bernetes 25%100-499名员工 24%500-999名员工 52%超过1,000名员工 25%金融服务 24%电信、传媒和娱乐 26%其他行业 重要发现 再次强调,通过调查,我们深入了解了各个企业组织如何处理 Kubernetes安全防护问题。重要发现如下: 67% 46% 部署。 的企业组织由于Kubernetes安全问题而推迟或减缓了 的企业组织由于容器或入或客户。 Kubernetes 安全事件而损失了收 42% 42% 48% 33% 的受访者认为容器和Kubernetes策略最令人担忧的方面是安全性。 的受访者表示他们企业组织内的DevSecOps计划已处于高级阶段。 的企业组织的DevSecOps计划处于早期阶段,内部团队正在联合制定策略和工作流程。 的受访者认为他们现有的容器和Kubernetes安全解决方案导致开发速度减缓。 的受访者认为他们的容器和Kubernetes环境中最令人担 执行摘要 关于本报告重要发现 发安现全1:问题影响业务成果 发安现全2漏:洞会对所有人造成 影响 发在现生3命:周期的所有阶段都 会发生安全事件 发安现全4策:略令人担忧发安现全5责:任分散 DevSecOps实践很普遍 发现7: 发现6: Kubernetes带来新的安 全挑战 发企现业8组:织致力于解决高风 险问题 发安现全9问:题可能导致严重的 后果 发风现险10管:理对于软件供应链 来说至关重要 发对现软11件:供应链安全性的担 忧真实存在 发有现助12于:提升软件供应链安 全性的工具 发企现业13组:织利用开源工具实 现Kubernetes安全防护 增的强安容全器性和Kubernetes 关于我们的受访者 开高始级使集用群红安帽全防Ku护bernetes 30%忧的问题是漏洞。 请继续阅读,了解有关这些发现的更多信息。 执行摘要 关于本报告重要发现 发安现全1:问题影响业务成果 发安现全2漏:洞会对所有人造成 影响 发在现生3命:周期的所有阶段都 会发生安全事件 发安现全4策:略令人担忧发安现全5责:任分散 DevSecOps实践很普遍 发现7: 发现6: Kubernetes带来新的安 全挑战 发企现业8组:织致力于解决高风 险问题 发安现全9问:题可能导致严重的 后果 发风现险10管:理对于软件供应链 来说至关重要 发对现软11件:供应链安全性的担 忧真实存在 发有现助12于:提升软件供应链安 全性的工具 发企现业13组:织利用开源工具实 现Kubernetes安全防护 增的强安容全器性和Kubernetes 关于我们的受访者 开高始级使集用群红安帽全防Ku护bernetes 发安现全1:问题持续影响业务成果 67%的公司由于安全问题不得不推迟或减缓应用部署。 在全球范围内,企业组织纷纷采用Kubernetes和基于微服务的架构等云原生技术,以改变其构建、运行和扩展应用的方式。部分企业组织开发的所有新软件均为微服务软件,但也有许多企业组织使用基于容器的技术重构现有应用。无论哪种情况,容器都可以缩短开发和发布周期,同时提高在混合环境中运行和管理应用的灵活性。然而,如果不能在整个应用生命周期(从开发到部署和维护)提高全方位的安全防护,这些宝贵的优势会大打折扣。事实上,我们的调查发现,67%的受访者由于安全问题而推迟或减缓了基于容器的应用的部署。 您是否曾因容器或Kubernetes安全防护问题而延缓或推迟将应用部署到生产环境中? 34% 67% 是否 问题27.您是否曾因容器或Kubernetes安全防护问题而延缓或推迟将应用部署到生产环境中?调查对象人数:总计600人由于四舍五入的原因,所有百分比相加可能不等于100%。 发安现全2:漏洞会对所有人造成影响 安损全失事。件的影响范围非常广,包括员工解雇和收入 容器和Kubernetes安全问题造成的影响远不止是应用部署延迟。26%的受访者表示安全事件导致员工被解雇;30%的受访者表示他们的企业组织因安全事故而被罚款。这些情况会导致宝贵的人才、知识和经验流失,严重影响企业组织正常运维,并且罚款和负面报道会给企业带来巨大的财务负担。 46%的受访者还透露,他们的企业组织因安全事件而损失了收入或客户。如果出现安全漏洞,团队就需要修复这些问题,这会延迟项目或产品发布,从而导致业务增长速度减缓。随着客户对企业的数据保护能力失去信任,他们可能会选择与采用更加安全的实践的竞争对手合作。 在过去 12个月里,您是否曾因容器 /Kubernetes 安全防护或合规问题或事件而遭遇以下任何 业务影响? 53% 项目延期或中断 46% 收入或客户损失 30% 罚款、法律措施或诉讼 26% 员工解雇 执行摘要 关于本报告重要发现 发安现全1:问题影响业务成果 发安现全2漏:洞会对所有人造成 影响 发在现生3命:周期的所有阶段都 会发生安全事件 发安现全4策:略令人担忧发安现全5责:任分散 DevSecOps实践很普遍 发现7: 发现6: Kubernetes带来新的安 全挑战 发现业8组:织致力于解决高风 险问题 发安现全9问:题可能导致严重的 后果 发风现险10管:理对于软件供应链 来说至关重要 发现软11件:供应链安全性的担 忧真实存在 发有现助12于:提升软件供应链安 全性的工具 发企现业13组:织利用开源工具实 现Kubernetes安全防护 增的强安容全器性和Kubernetes 关于我们的受访者 开高始级使集用群红安帽全防Ku护bernetes 问题29.在过去12个月里,您是否曾因容器/Kubernetes安全防护或合规问题或事件而遭遇以下任何业务影响?调查对象人数:总计600人 生安全事件 发在现生3:命周期的所有阶段都会发 1起容器或Kubernetes安全事件。 在过去的12个月中,近90%的企业组织内至少发生过 安全事件并不只是影响正在运行的应用。与容器和安全事件可能会影响应用生命周期的所有阶段。 Kubernetes 相关的 他们的企业组织在过去 ( 45%的受访者表示, 12个月内遇到过运行时事件;而几乎同样数量 执行摘要 关于本报告重要发现 发安现全1:问题影响业务成果 发安现全2漏:洞会对所有人造成 影响 发在现生3命:周期的所有阶段都 会发生安全事件 发安现全4策:略令人担忧发安现全5责:任分散 DevSecOps实践很普遍 发现7: 发现6: Kubernetes带来新的安 全挑战 发企现业8组:织致力于解决高风 险问题 发安现全9问:题可能导致严重的 后果 发风现险10管:理对于软件供应链 来说至关重要 发对现软11件:供应链安全性的担 忧真实存在 发有现助12于:提升软件供应链安 全性的工具 发企现业13组:织利用开源工具实 现Kubernetes安全防护 增的强安容全器性和Kubernetes 关于我们的受访者 开高始级使集用群红安帽全防Ku护bernetes 44%)的受访者表示,他们在构建和部署阶段遇到了问题,并指出存 业组织未通过审计。 在重大漏洞需要补救。与此同时,40%的受访者表示他们的企业组织在容器或Kubernetes环境中检测到配置错误;26%的受访者表示他们的企 容器和Kubernetes技术可通过跨职能功能和经过简化的运维流程提高生产力。虽然Kubernetes提供网络策略和基于角色的访问控制(RBAC)等机制来增强