前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >2019年度容器安全现状分析

2019年度容器安全现状分析

作者头像
绿盟科技研究通讯
发布2019-12-11 15:01:54
8650
发布2019-12-11 15:01:54
举报
文章被收录于专栏:绿盟科技研究通讯

随着越来越多的组织向微服务/DevOps转型,容器生态系统每年都会发生很大的变化。近期,Sysdig发布了《2019年度容器使用报告》,报告中大篇幅的介绍了2019年容器生态下的安全现状问题。

报告基于2,000,000个运行于生产环境中的容器收集的真实数据,从多个角度,分析了这一年来,容器生态系统所发生的变化,样本数量几乎是去年(90,000)的22倍多。

相比较2018年的报告,今年的这个报告有以下几个特点:

(1)从题目上看,2018年之前的报告都是Docker年度使用报告,今年将Docker改为了Container,这也体现了在生态系统中容器运行时的广度有所扩大;

(2)样本数较去年增加了22倍多,所有的统计数据来源于线上客户真实的业务数据,这样的数据增长,说明在容器环境中的安全需求与安全建设发生了飞速的发展;

(3)报告中首次增加容器环境安全相关的现状数据。

下面本文将着重解读2019年容器环境的安全现状。

1Docker+K8S仍然是主流技术路线选择

rkt、lxc、mesos等容器运行时已经几乎很少见,docker和containerd基本成为容器运行时的主流实现。

在编排工具上,毫无悬念的Kubernetes占据了榜首,加上OpenShift以及Rancher,其占有比例达到了89%,Swarm从2018年的11%降到了5%。

2镜像安全问题仍然突出

在用户的生产环境中,有40%的镜像来源于公开的镜像仓库。

镜像的漏洞问题依然十分突出,连续5天对应用到生产环境中的镜像进行漏洞扫描,通过率仅为48%。

3安全配置规范应用情况不理想

CIS等安全配置规范,在生产环境中落实情况并不是很理想,主要体现在禁用了seccomp、没有设置SELinux、AppArmor、以root/特权模式运行等问题。

4运行时安全

通过Falco的监控,运行时安全威胁Top10主要体现在了写/etc目录、写/root目录、创建特权容器、更改线程命名空间、创建挂载敏感目录的容器、获取sudo权限、尝试在二进制目录下写文件、异常运行shell、系统程序处理网络行为、shell登入容器。

Kubernetes的node ready、CPU利用率、Memory利用率等成为主要的运维告警项。

总体来说,报告从多个角度展示了容器生态,尤其是容器环境的安全现状。对比前两年的报告,一方面可以看出,容器在计算环境中扮演了越来越重要的角色,另一方面,容器生态的安全问题,也是越来越多的引起容器使用者的关注。

扫描文末二维码,关注公众号,回复“2019”,即可下载报告原文

内容编辑:星云实验室 江国龙 责任编辑:肖晴

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-11-06,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 绿盟科技研究通讯 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
容器服务
腾讯云容器服务(Tencent Kubernetes Engine, TKE)基于原生 kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务,覆盖 Serverless、边缘计算、分布式云等多种业务部署场景,业内首创单个集群兼容多种计算节点的容器资源管理模式。同时产品作为云原生 Finops 领先布道者,主导开源项目Crane,全面助力客户实现资源优化、成本控制。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档