Kubernetes 调查报告：配置不当可能导致安全问题

作者 | Matt Campbell

译者 | 平川

策划 | 丁晓昀

Kubernetes 软件提供商 Fairwinds 发布了 2023 年 Kubernetes 基准报告。该报告显示，在参与调查的组织中存在配置问题不断恶化的总体趋势。这包括以下几类工作负载的增加：允许 root 访问的、未设置内存限制的和受镜像漏洞影响的。

去年，该报告发现，总体而言，只有不到 10% 的工作负载受到不良或不当配置的影响。今年他们发现，这种情况已经蔓延到可靠性、安全性和成本治理等更多领域。该报告提出了一些假设，解释了为什么工作负载配置的总体趋势会逐年变差：

很明显，DevOps 团队数量不足。作为社区，我们需要做得更好，以便为他们提供支持。随着 Kubernetes 使用范围的扩大，DevOps 管理新团队引入配置风险的难度增加了。

该报告调查了数百家组织的超过 15 万个工作负载。他们发现，允许 root 访问的工作负载比去年增加了 22 个百分点。他们还发现，可能受镜像漏洞影响的工作负载有所增加，其中有 25% 的组织，他们 90% 的工作负载都面临此类风险。与去年的报告相比，这增加了 200% 以上。

这令人担忧，因为 Orca Security 最近的一份报告发现，平均攻击路径只需三步就可以到达业务关键数据或资产。根权限与潜在的镜像漏洞（如 log4j）提供了初始入口点。Orca Security 的报告显示，78% 的攻击路径使用已知漏洞（CVE）作为初始访问点。

Fairwinds 的报告确实发现，与没有护栏的组织相比，采用左移方法或在部署时实现 Kubernetes 护栏的组织能够多纠正 36% 的 CPU 和内存配置缺失问题。此外，使用护栏的组织比没有使用护栏的组织多纠正了 15% 的镜像漏洞。

Fairwinds 营销副总裁 Danielle Cook 解释道：“随着 Kubernetes 使用范围的扩大，DevOps 团队管理新团队引入配置风险的难度增加了。”让这个问题更加复杂的是确定哪个团队负责构建这些护栏，并确保配置是正确的。Armo 的一项调查发现，58% 的受访者认为，DevSecOps 团队应该是这些解决方案的所有者。该报告还发现，只有 10% 的受访者认为他们的团队是处理 Kubernetes 环境安全的专家。

许多人都同意，对于团队来说，理解和管理与开发活动、基础设施和工具相关的所有风险变得越来越困难。Syntasso 首席运营官 Paula Kennedy 分享了这种沉重的认知负荷可能带来的影响：

对于任何试图在复杂的技术领域中航行的人来说，这都是一场持续的斗争。每天都有新工具发布，要了解新功能、评估工具、选择合适的工具，还要了解这些工具之间如何相互交互，以及如何将它们融入你的技术栈，这是一项非常困难的活动。

Fairwinds 报告指出，护栏或铺好的路（paved paths）可以帮助团队遵循最佳实践。正如 Kennedy 所言，这些方法有助于“简少工具数量，减少选项过多所带来的认知负荷，以及减轻平台的技术膨胀。”

要了解有关 Fairwinds 2023 年 Kubernetes 基准报告的更多内容，请直接访问 Fairwinds 网站。

原文链接：

https://www.infoq.com/news/2023/01/kubernetes-poorly-configured/

相关阅读：

如何用 Prometheus 和 Grafana 监控 Kubernetes 集群？（https://www.infoq.cn/article/k5uE7BG56vvEiON1lKME）

关于 NGINX Kubernetes Gateway，你需要知道的 5 件事（https://xie.infoq.cn/article/c72c3ac5763d523d1f13e87d4）

Kubernetes 安全防护终极指南（https://www.infoq.cn/minibook/IDAGRlr1RAeLg8l6sZTy）

声明：本文为 InfoQ 翻译，未经许可，禁止转载

点击底部阅读原文访问 InfoQ 官网，获取更多精彩内容！

今日好文推荐

直接到云上做开发？先等等，这个方案还“半生不熟”

“干净”的代码，贼差的性能

一场向应用交付标准的“冲锋”

没有 NGINX 和 OpenResty 的未来：Cloudflare 工程师正花费大量时间用 Rust 重构现有功能