每个人都知道 Kubernetes 赢得了容器之战。 但 Kubernetes 赢得的是容器运行时之战。 你看,容器镜像之战最终被Docker赢得了。 根据《2019 年开源安全状况报告》的统计数据显示,每两周下载的 Docker 容器超过 10 亿个。 Docker Hub 之于企业的意义就如同 Apple 的 AppStore 和 Google Play 之于消费者的意义一样。
容器镜像涵盖了从基础操作系统到应用程序堆栈、从数据库到中间件到支持 node.js、Python 和 Go 的应用引擎等各个方面。 它们甚至包括应用服务的生态系统集成。
如果您属于大多数部署容器的组织,那么您可能正在 Kubernetes 环境中部署 Docker 镜像。
如果您这样做,那么您可能还会部署易受攻击的容器映像。 Snyk 的上述研究发现,“十大最受欢迎的默认 Docker 镜像中每个都包含至少 30 个易受攻击的系统库”。 报告继续指出,这种情况很常见,“系统库在许多 Docker 镜像中可用,因为它们依赖于通常使用 Linux 发行版作为基础的父镜像。”
所以,我们一直都有大量被组织下载的易受攻击的图像。 据 Snyk 称,三大 Linux 发行版中的漏洞数量正在稳步增加。
因此,毫不奇怪, Tripwire 的《2019 年集装箱安全状况》调查发现,高达 60% 的受访者在过去十二个月中经历过集装箱安全事件。 对于近五分之一(17%)的人来说,这可能是因为组织意识到了这些漏洞 - 但仍然部署了它们。 尽管 Snyk 发现 44% 的 Docker 镜像含有已知漏洞,但都有更新、更安全的基础镜像可用。 换句话说,只需提取最新的图像就可以降低风险。 另外 22% 存在漏洞的图像可以通过简单地重建图像来解决。
真的。 我无法编造这些东西。
“将安全左移”的重点在很大程度上在于部署适当的安全应用服务(BOT 防御、Web应用防火墙、身份和访问控制),因为它将安全实践纳入开发和交付生命周期。 这些实践包括扫描代码和容器以查找已知漏洞,然后解决它们。
重点是针对 17% 的人,他们知道容器镜像中存在漏洞,但在部署时并未进行修复。
我们可以做得更好。 是的,速度很重要,但如果没有安全性,速度就是危险的——不仅对组织而言,而且对最终使用您匆忙推出的应用程序的客户而言也是如此。
如果您尚未实施安全容器化,请考虑实施以下步骤: