1、Sysdig 2022 我们都试图在生产中“左移”，但事实却非如愿以偿，大约四分之三的容器都至少会有一个“高危”或者“严重”的漏洞。与此同时，许多公司为提高运营效率转而采用云计算资源，但它们部署过的容器中超过一半没有进行资源限制，这无疑会浪费资源。云云告告原生原生用报使用报使安全安全和和ContentsExecutive Summary.3Security and Compliance.5Managing vulnerabilities.5Runtime security threats.9Cloud security and identity.12Containers and Kuberne

2、tes.15Kubernetes capacity planning.16Kubernetes clusters and nodes .17Kubernetes namespaces,deployments,and pods .18Services running.20Container platforms deployed.23Container,image,and service lifespans.25Alerts .27Demographics and Data Sources.29Conclusion.303Executive SummarySysdig 2022 CloudNati

3、ve Security and Usage Report摘要摘要在过去的四年中我们实时地对客户的真实数据进行分析，并对容器有了更深入的了解。伴随着我们安全和监控能力的增强，将利用这份优势来探讨如何在企业上云的浪潮中应对不断变化的风险。每年我们都会发现一些在基础设施、应用程序和容器中，随着时间的演进有了哪些新的使用方法。对此，我们为您带来了 Sysdig 2022 云原生安全和使用报告。我们的企业客户用数据告诉我们，容器寿命普遍较短，说明对于容器环境的安全性和合规性的研究是很重要的。虽然容器寿命短仅仅是上云过程中的一个小插曲，但它非常不利于故障响应、故障定位和故障解决。为保证工作负载（workl

4、oads）在可控的范围内，我们需要对漏洞、配置、权限和运行时威胁进行检测。检测期间，我们在生产环境中看到大量易受攻击的容器，许多暴露的云存储实例，以及许多与威胁事件有关的实例。我们看到了Cloud Native Computing Foundation(CNCF)Falco项目的飞速增长，以帮助团队在容器运行时、主机和 Kubernetes 环境中检测威胁。由于 Kubernetes 部署环境的短暂性，获得关于 Kubernetes 部署环境的准确容量信息是一项艰巨的挑战。本报告中显示了超过 50%的容器没有定义 CPU 或内存限制，这可能会导致性能问题和成本超支。今年，随着容器密度再次增长，

5、企业正在转向 Prometheus，并将其作为监控基础设施和应用程序的标准解决方案。与此同时，我们的客户对 Prometheus 指标的使用率达到了 83%。对于 Falco 和 Prometheus 的快速发展，表明了企业用户对开源和开放标准的偏爱。4Executive SummarySysdig 2022 CloudNative Security and Usage Report这些发现是基于我们从客户一年运行的数十亿个容器中收集的数据。这可让我们不依赖于调查结果的导向，而真正的在容器不同使用方面窥探一二。在报告中，您将看到关于安全性、合规性、服务、告警和 Kubernetes 使用方法的

6、详细信息。这些信息来自全世界各行各业的公司，对掌握容器环境的真实安全状态和使用情况非常有用。2021年年云安全云安全容器安全容器安全容器使用容器使用73%云账户中有公开的S3（Simple Storage service）buckets73%Falco 的下载数同比增长非自然人的云角色88%62%76%使用 root 权限运行容器正运行中有“高危”或“严重”漏洞的容器75%51%60%没有内存限制，没有CPU限制83%用户使用Prometheus 指标34%未利用的 CPU 资源检测到容器中包含 shell 命令云原生安全云原生安全关键趋势关键趋势5Security and Complianc