2022云原生安全发展24个洞见

今天，云原生技术为企业带来快速交付的优势之外,也带来了新的安全要求与挑战。一方面，新技术（容器、编排、DevOps、微服务）的引入带来了新安全问题，如镜像的供应链问题、容器的逃逸问题、集群的横向移动问题、微服务的边界问题等，需要引入新的安全防护手段；另一方面，云原生持续开发/集成的开发模式的转变，传统安全无法适配新的开发节奏和安全要求。

 

在长期跟踪容器安全的研究之后，本文基于各类材料，重点对容器发展、容器镜像安全、K8S发展的技术趋势进行整理分析，与各位业内安全同仁分享，为守护云原生安全的发展贡献一份力量。

 

01

容器生态发展8大洞见

 

与传统部署相比，安全专家和管理员在容器化环境中需要保护的组件更多、更复杂，涉及容器和底层基础设施，需要将安全集成到开发管道中，才能确保所有组件从最初的开发阶段到其生命周期结束都受到保护。

 

洞见1：超过一半的组织运行容器数量大于250个，有6%的人管理超过5,000个容器（如图1所示）。这表明越来越多的工作负载正在转向容器并远离传统架构。

图1 运行容器的数量

 

洞见2：每台主机上容器数量中位数都有所增加，2020年同比增长了33%，2021年同比增长12%，达到了46个（如图2所示），许多组织正受益于硬件资源利用率的提高。

图2 每个主机上容器数量中值

 

洞见3：大约44%容器存活时间不到五分钟（如图3所示），许多容器只需要足够长的时间来执行一个函数，几秒钟可能看起来很短，但对于某些流程来说已足够。这表明容器的短暂性仍然是该技术的独特优势之一，但也带来了新的挑战，包括监控、安全性和合规性等新问题。

图3 容器的生命周期

 

洞见4：在容器运行时使用上，Docker采用占46%，首次跌破50%，但Docker仍然是组织中使用最多的容器运行时（如图4所示）。

图4 容器运行时

 

洞见5：在容器仓库的使用上，Quay首次超过Docker，占客户采用率的26%（如图5所示）。

图5 容器镜像仓库

 

洞见6：在资源使用限制上，60%的容器没有定义CPU限制，51%没有定义内存限制。即使在有CPU限制的集群中，平均有34%的CPU内核未被使用（如图6所示）。

图6 容器容量规划

 

洞见7：在开源软件使用上，基于容器的应用开发中，使用前12种开源技术（如图7所示），排名前三是NGINX、GO和JMX。

图7 容器开源软件

 

洞见8：容器化服务正在不断改进（如图8所示），使用寿命保持相对稳定，其中31%服务周期超过2周。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！