Kubernetes原生容器安全平台StackRox在2021年1月被紅帽收購之前,針對500多名DevOps、工程及安全性專業人員進行調查,在2021年夏季報告中揭露了IT領導者最擔憂的容器相關議題,並分析企業該如何採用DevSecOps來保護雲端原生環境。
成長最快的開源項目之一Kubernetes是雲端原生應用程式的基礎,亦是各行各業數位轉型的核心。企業於生產環境中採用容器及Kubernetes的比例持續增長,不過仍持續面對諸多挑戰。根據Gartner報告,企業在生產環境中部署容器的比例依然受限於許多考量,包含安全性、監控、資料管理和網路等難題。
2021年1月被紅帽收購的Kubernetes原生容器安全平台StackRox,在其一年兩度的Kubernetes安全性大調查報告中,檢視企業如何在採用Kubernetes、容器及雲端原生技術的同時,保護生產環境的安全。
被紅帽收購之前,StackRox針對500多名DevOps、工程及安全性專業人員進行調查,在2021年夏季報告中揭露IT領導者最擔憂的容器相關議題,進一步了解企業如何採用DevSecOps來保護雲端原生環境無虞。
調查結果強調在軟體開發生命週期早期,開發、維運和安全團隊之間便全力協作落實安全性,對於實現Kubernetes的最大優勢「快速創新」可謂至關重要。振奮人心的是,許多企業正在實踐DevSecOps,75%企業開始加強DevOps和資安團隊之間協作的措施。 九成以上受訪者坦承在過去12個月中曾經歷資安事故,其中多數原因是配置不當所致,亦有相當多的案例是因重大漏洞、執行期(Runtime)錯誤或稽核未通過而起。若受訪者已於生產環境中部署Kubernetes工作負載,上述調查結果更為顯著。
資安疑慮恐減緩創新速度
儘管容器和Kubernetes的採用率越趨上升,安全性仍是企業最大的疑慮,本調查發現94%受訪者在過去12個月中曾經歷相關資安事故。此外,更有超過一半的受訪者(55%)表示曾因安全性考量,須延遲在生產環境中部署Kubernetes應用程式的時間。
人為疏失被列為資料外洩和駭客攻擊最常見的原因,近60%受訪者指出在過去12個月內曾經歷環境配置不當的事故,近三分之一的人發現重大漏洞,另有三分之一的人表示遭遇執行期安全性錯誤。不當配置不僅是最常見的資安事故,也是受訪者最擔憂的問題,其中47%受訪者為容器和Kubernetes環境中配置不當而導致的風險憂心,幾乎是駭客攻擊(13%)相關的四倍之多。
配置管理對於資訊安全專業人員的挑戰艱鉅,雖然市面上已有許多工具可協助掃描容器映像檔的資安漏洞,但配置管理所需考量遠不止於此。克服資安挑戰最佳方法便是最大幅度地將配置管理自動化,讓安全性工具而非相關人員,來提供開發和DevOps團隊安全配置容器和Kubernetes的保護。
在生產週期更前端 就落實資訊安全
在軟體開發生命週期早期,若各IT團隊能全力協作落實安全性,便能加速企業創新的腳步。
在各種IT角色中,最多受訪者認為DevOps人員須為容器和Kubernetes的安全性負責。此外,呼應安全性需求的變化,15%受訪者認為開發人員是Kubernetes資安主要負責人,而僅有18%認為安全性團隊須承擔最大責任。
本調查結果提醒,惟有集結眾人之力方能維護容器及Kubernetes的資安。就傳統做法,安全性團隊主要為確保安全性及政策合規,容器和Kubernetes的採用則主要由DevOps團隊執行,因此受訪者認為應由DevOps團隊擔起維護技術資安的想法,並不讓人意外。為彌平不同IT團隊間的差距,容器和Kubernetes的安全工具須能促進開發人員、DevOps、維運到安全性等不同團隊間的密切協作,而非鞏固企業中的團隊孤島。
調查亦發現,DevSecOps不再只是個流行術語,而是實際落實在產業中的方法。DevSecOps涵蓋眾多流程與工具,協助IT團隊將安全性納入應用程式生命週期,並非單純將安全性作為事後補強的做法。調查中多數受訪者所屬的團隊,已規劃不同形式的DevSecOps計畫,僅有26%受訪者仍將DevOps與安全性工作分開執行。
投資安全性
企業正迫切希望採用容器和Kubernetes,但若無法同時投資必要的安全性策略和工具,反而會將關鍵應用程式暴露於風險中,推遲應用程式上市的時間。調查指出,針對所屬企業的容器策略,受訪者最大的擔憂便是安全性投資不足。
不過,好消息是67%受訪者表示所屬企業備有基本的Kubernetes安全性策略,更值得注意的是,僅有7%受訪者所屬企業完全沒有安全策略。雖然調查結果相對樂觀,卻也顯示隨著安全性策略逐漸成熟,企業仍須擴大相關投資,以充分滿足容器安全性和合規性的需求。
若能整合Kubernetes原生安全性,企業便可利用Kubernetes中豐富的宣告式資料和原生控制能力,取得關鍵安全性優勢。透過分析Kubernetes中的宣告式資料,IT團隊可在配置管理、合規性、分段(Segmentation)及Kubernetes特定漏洞風險上獲得基於風險的洞察,為企業帶來更完善的資安防護。不僅如此,在應用程式開發和安全性上使用相同的基礎架構及控制方法,亦有助縮短學習曲線,加速分析及故障排除過程。