Sysdig：2023云原生安全和使用报告（28页）.pdf

1、Sysdig 2023 云原生安全和使用报告目录01 概要SysdigSysdig2023 2023 云原生安全和使用报告云原生安全和使用报告0202 企业在管理供应链风险方面的努力05 数百万美元浪费在未使用的 Kubernetes 资源上04 成熟的组织正在主动测试其安全姿态03 零信任：多说少做06 使用趋势和观点07 方法论08 总结01概要在过去的六年里，我们分享了对客户数据的分析，为社区提供了对容器使用和安全趋势变化的报告。这份报告是基于我们的客户在过去一年中运营的数十亿个容器、数千个云账户和数十万个应用程序所收集的数据。这使我们能够真实地提供容器和云的多种实际使用情况。云安全领域

2、最大的两个风险是错误配置和漏洞，它们通过软件供应链越来越多地被引入到我们的环境中。2023年的报告中我们专门深入探讨了这些数据，我们将这两个安全领域内的 众矢之的 在2023年的报告中做了深入研究。不幸的是，生产环境中运行的 87%容器镜像存在严重或高风险漏洞。尽管团队越来越多地采用左移安全策略来尽早和频繁 review代码，但它们仍需要保证容器运行 时的安全。这一点从 Falco等技术的广泛应用中得到了佐证，作为云原生计算基金会（CNCF）的开 源项目之一，Falco 可以帮助组织在云、容器、主机和 Kubernetes环境中检测运行时威胁。我们的发现让负担过重的开发者看到了希望之光，因为数

3、据显示很多运行在运行时上有漏洞的镜像都可以进行集中修复。只有 15%的高或严重漏洞（存在可用修复方案）在运行时实际被使用。通过基于运行时使用的软件包进行优先处理并筛选，这能够显著减少团队在追踪无尽的漏洞上花费的时间。安全领域将零信任视为头等大事，然而我们的数据显示，零信任架构的基础之一：“最小权限访问权限”并未得到充分执行。实际上，我们发现90%的授权许可未被使用，这为窃取证书的攻击者留下了许多机会。团队需要强制执行最小权限访问权限，因此，这需要了解哪些权限实际上正在被使用。在当前宏观经济挑战下，大多 IT 团队正在研究减少云计算成本的方法。由于这些环境的短暂性，获取有关 Kubernetes

4、 部署的准确利用率和成本信息 或权益调整是一项艰巨的挑战。报告显示超过 72%的容器寿命不到5分钟，这与我们之前的分析结果相比大幅上升。SysdigSysdig20232023 云原生安全和使用报告云原生安全和使用报告ExecutiveSummary3当你将短暂的生命周期与集群密度与今年再次增长的数据相结合时，很明显团队需要寻找控制成本的方法。我们的数据显示，各种规模的团队在其 Kubernetes 环境中可能存在成本超支的情况，最大的部署可能会导致浪费超过 1000 万美元。非常荣幸地向大家呈现Sysdig 2023云原生安全与使用报告。这些信息对于确定容器和云环境的安全和使用状态非常有帮助

5、。这些数据还可以帮助制定网络安全策略和优先事项。我们相信，这些调研结果可以帮助各种规模和各种不同上云阶段的团队。关键趋势安全授予的权限未被使用90%容器镜像有高危或严重的漏洞87%高危或致命漏洞在运行时中被使用15%容器寿命不到5分钟（去年为44%）72%容器使用运行超过1,000个节点的公司可以节省超过1000 万美元的CPU资源未被使用(去年为34%)69%ExecutiveSummary4SysdigSysdig20232023 云原生安全和使用报告云原生安全和使用报告02企业在管理供应链风险方面的努力针对软件供应链的攻击越来越多。SolarWinds 的事件提高了人们对这种风险的警惕性

6、。就在最近发生的事：美国联邦文职行政部门（FCEB）遭受了攻击，它加剧了人们对这类风险的担忧。与此同时，伊朗政府利用 Log4Shell 漏洞部署了一个加密货币挖矿器，通过窃取凭据在 FCEB 环境中持续进行挖矿服务。开发团队越来越依赖开源软件和第三方代码，这也带来了接触已知和未知安全漏洞的风险。“在云原生环境中，漏洞的数量和复杂程度可能会令人不知所措。我们的开发人员和安全团队采取分层方法来审查和分类漏洞的实际风险。通过关注那些具有较高风险的漏洞，即那些被认为是高危或严重级别的漏洞，或者是那些存在的公共漏洞，可以让我们能够有效地优先考虑和集中精力采取强力措施。-Michael Bourgaul