【IT168 调查】Kubernetes安全平台供应商StackRox和研究咨询公司AimPoint Group发布了一份名为《容器状态和Kubernetes安全》的报告。该报告收集了来自392名IT专业人员的数据，他们被问到一系列关于使用容器的问题，以及围绕容器安全和基础设施的问题。并将这些回答与2018年末进行的一项类似调查进行了比较，在该调查中，他们发现对容器策略的主要担忧是缺乏适当的安全策略以及受到影响的安全风险类型和周期。

　　容器策略

　　这份新报告显示，越来越多的公司采用容器和Kubernetes。然而，该报告还发现，尽管定义容器安全战略变得越来越重要，但安全性和缺乏细节是最大的挑战。

　　资料来源：StackRox

　　如上图所示，40％的受访者认为他们的公司对安全性没有充分的投入。如下图所示，34％的受访者要么没有安全策略，要么处于实施安全策略的计划阶段。除此之外，86％的受访者所在的企业采用了Kubernetes，大部分公司都部署了容器，但几乎没有安全策略。

　　资料来源：StackRox

　　配置错误和漏洞管理

　　该报告还发现，60％的人认为错误配置和意外暴露是他们最大的安全问题，而漏洞管理、合规性和可见性是其容器安全性最重要的三个“必备”功能。

　　资料来源：StackRox

　　在阅读报告后，我们与StackRox的CTO和联合创始人Ali Golshan取得了联系，并向他询问了一些有关安全性的问题。

　　记者:对于那些认为安全性只在生产中才重要的人来说，我们如何才能使安全性在他们的心目中成为更重要的优先事项呢?

　　Ali Golshan:发生在生产中的安全事件有90%-95%都是由于配置错误或其他意外暴露而发生的。云原生堆栈的新功能是能够直接将安全性与我们构建系统的方式联系起来。容器、微服务体系结构和DevOps变得如此流行，很大程度上是因为它们使开发、部署、移植和更新应用程序更快、更可靠，使云原生初创企业相对于传统初创企业具有巨大的竞争优势。但是，当安全性成为事后考虑的问题，并且在构建和部署阶段没有得到重视时，企业就会失去容器化应用程序开发的核心优势。检测到任何漏洞或错误配置应用程序时，会耗费更多的时间和成本去解决，而且还会推迟将要发布的应用程序。

　　记者：如何改进并发展安全性？

　　Ali Golshan:安全应该成为代码的一部分。随着更多的自动化属性直接构建到基础设施中，安全性将显著提高。Kubernetes的普及速度超过了以往以来的 任何其他基础设施，部分原因是其内置的安全功能。人们可以参考参考资料，如Kubernetes Security 101指南，了解Kubernetes的关键组件、容器和Kubernetes的一些安全考虑事项，以及关于容器环境的一些必须知道的安全问题。

　　记者：如何在DevOps流程中实现安全方面的非常好的实践？

　　Ali Golshan:第一件事是将安全检查嵌入到CI/CD中。DevOps安全性必须尽可能自动化。例如，确保正在对CIS基准、PCI、HIPAA和其他安全规范进行合规性检查和审计。这些检查的任何一点问题都应该包括对补救步骤的完整解释，开发人员和DevOps应该能够理解。换句话说，安全性和DevOps必须使用相同的语言，从部署或运行时阶段学到的安全性知识应该无缝地应用到未来部署的构建阶段。

　　记者：我在你的报告中读到，错误配置被调查者视为最大的风险来源。您是否认为从等式中移除人为因素并采用“自动化一切”方法将是最好的方法，或者当自动完成而不是指定的开发人员或操作员时，实际上会变得更糟？

　　Ali Golshan：自动化将会有很大作用，这是毋庸置疑的。如果设置本身不能自动化,那么至少应该自动检查这些配置,以便帮助开发人员更好地完成工作。该行业已经在这方面采取了很多措施。CIS基准有一组用于容器和Kubernetes加固的配置建议。我们认为开发人员不可能一行行地通过CIS中的数百个配置检查。这个检查过程应该是端到端的自动化过程。也就是说，有时需要以CIS不推荐的方式运行容器，比如以特权模式运行容器，这需要人为干预，但是正在进行的检查绝对应该是自动化的。

　　记者:您认为人工智能要多久才能安全地执行某些任务?

　　Ali Golshan:如果我们把人工智能归类为机器学习的一个扩展，许多任务可以用人工智能完成。ML擅长于分类问题，比如当您试图自动对各种恶意软件进行分类，或者基于已知模式构建签名和启发式时。ML非常适合解决不需要情景或上下文感知的问题。那么，真正的问题就变成了何时ML / AI解决方案能够承担更复杂的任务，这些任务需要在企业或用户行为的具体情景中进行深入研究，这种任务我们还需要很多年才能提供。

　　记者:您认为将特定任务外包给人工智能并由人类处理其他任务的混合方法有什么优点吗?

　　Ali Golshan:如果用户可以提供策展并确保提供的数据是干净的，那么ML系统的培训将具有更高的保真度。当前的问题是我们用于收集和解析数据的系统在某种程度上是为更多的手动工作流程而构建的。 因此，它们不能为ML系统提供干净且适当标记的数据。 为了将ML / AI转移到真正的自治模式，整个ETL管道需要发展成熟并推进。

　　记者:关于安全性公司现在都应该做什么，所有公司都适用吗?

　　Ali Golshan：我们之前提到，太多公司都在等待。这些环境大多数都很复杂，部署了多个安全性、监视、日志记录和事件管理解决方案。等到生产环境将容器和Kubernetes安全解决方案引入到您的云本地堆栈中时，有时会限制DevOps进程的收益，因为会遇到额外的延迟，只有在开发管道的末尾才会看到未知因素。所以应该尽早将安全性纳入其中，它还必须成为容器基础设施构建和部署周期的核心组件。

　　作者：Chris Stewart

　　原文网址：https://jaxenter.com/plan-container-security-core-component-160637.html