进入2019年,很多组织机构都在考虑DevOps。这是一场全球性的运动。事实上,Puppet和Splunk在其2018年度DevOps报告中,收到了除南极洲以外来自各大洲组织机构的响应。这些组织在所属行业,规模和DevOps的成熟度级别上各不相同,但是他们都有兴趣学习如何进一步推动其DevOps发展。
这些企业将会面临不少挑战。随着各个组织机构在2019年进一步发展DevOps,他们也将面临日益增加的复杂因素和风险。部分风险将来自于他们的容器,因为很多组织机构仍然缺乏对这些软件的洞悉能力。如果他们想要充分降低风险,并最大程度的减少暴露于数字威胁的可能性,就需要保证他们容器的安全。但是他们已经做好准备了吗?
答案就在Tripwire的容器安全状态报告中(Tripwire’s State of Container Security Report)。在这项研究中,Tripwire对311位IT安全专业人员进行了调查,这些专业人员都在员工超过100名的公司中管理容器环境。
他们的回答表明,组织机构已经在保护其容器部署中获得了教训:60%的组织,在过去一年中, 至少遭遇过一起容器安全事故。
在Tripwire进行研究的期间,86%的受访企业正在创建容器,而生产中的容器越多,他们遇到容器安全问题的可能性就越大。在那些生产了100多个容器的组织机构中,有75%已经遭遇过一起安全事故。所以当有94%的受访者都表达了他们对容器安全的担忧也不足为奇了。71%的受访者甚至预测,新的一年里容器安全事故将会增加。
2019年Tripwire容器安全状态报告要点:
- 94%的IT 安全专业人员表示对容器安全担忧
- 主要担忧:54% 的受访者认为团队对容器安全的知识储备不足;52%的受访者认为对容器和映像安全状态的可见程度有限;43%的受访者认为在部署前不能够对容器镜像进行安全评估;
- 在过去一年中,有60%的组织机构都经历过容器安全事件;
- 有47%的已部署容器被发现有漏洞,而46%的已部署容器漏洞不明;
- 71%的受访者预测,在2019年容器安全事件的发生概率将会增加。
他们的预测部分反映了现在企业中,在容器安全策略方面存在的问题。例如在Tripwire的调查中,只有12%的受访者表示他们能够在几分钟之内检测到一个受损的容器。而45%的受访者则表示需要几个小时,而其他人估计需要更长的时间。同时有接近一半的IT安全专业人员(47%)表示,他们所属的组织机构正在创建易受攻击的容器。同样有接近一半的专家(46%)表示不确定他们是否处于同样的情况。
Tripwire公司负责产品管理和战略的副总裁Tim Erlin解释道:
随着容器数量的增加和使用越来越广泛,组织机构感受到了加快部署的压力。为了满足这一需求,团队 只得暂时接受不对容器进行保护带来的风险。根据这份研究,我们发现这样做的结果是大部分组织机构都经历了容器安全问题。
为了应对这些安全问题,有些组织机构在限制其DevOps部署。在Tripwire的调查中,有42%的受访者回答,由于随之而来的安全风险,其所属组织正在限制容器的使用。几乎每个人都表示他们想要额外的安全环境(98%)。而82%的受访者由于使用容器而正在考虑安全责任重组。
当公司正在等待这些功能时,Erlin表示到,企业可以也应该努力将安全性纳入DevOps生命周期中。他们可以通过进行安全控制,包括漏洞管理和多容器监控/审查(包括构建环境,容器安全性测试,验证过程以及运行容器)来实现这一目标。
2018年度DevOps报告地址:
https://puppet.com/resources/whitepaper/state-of-devops-report
本文来源安全牛
发表评论: