2023 年 Kubernetes 采用、安全和市场趋势报告
内容摘要
我们的 2023 年版《Kubernetes 安全状况报告》深入研究了云原生安全年度调查的最新发现,重点关注容器化工作负载和 Kubernetes。本报告基于对全球 600 名供职于大型企业和中小型企业或机构的 DevOps、工程和安全领域专业人士的调查问卷。报告揭示了企业/机构在云原生采用之旅中面临的一些最常见安全问题,以及这些问题对其业务的影响。
报告要点
- 三分之二受访者报告称,因 Kubernetes 安全问题延迟或减慢了部署。
- 多个企业/机构反映,容器和 Kubernetes 安全和合规事件造成了许多负面影响,包括收入损失和罚款。
- 大多数受访者已在实施 DevSecOps 计划,但有 17% 的受访者表示,他们的安全防护与 DevOps 是分开的。
- 漏洞和配置错误是容器和 Kubernetes 环境的首要安全问题。
- 使用开源软件是软件供应链安全的一大担忧。
67% 的公司因为安全问题而推迟或减缓了部署
我们的调查发现,67% 的受访者因为安全问题而不得不推迟或减缓应用部署。来自从开发到部署和维护的整个应用生命周期的所有层面的安全需求,让许多企业和机构不堪重负。因此,他们需要一种简便的方法,不仅要能够保护容器化应用,还要确保不会减慢开发速度或增加运维复杂性。
尽早将安全防护作为优先事务来考虑,企业/机构就能投入力量去保护其宝贵的业务资产,如敏感数据、知识产权和客户信息;同时也能更好地满足监管要求,确保业务连续性,维护客户信任,并长期降低在开发生命周期后期或漏洞被利用之后修复安全问题的成本。
您可以将自己所在企业/机构的状况与报告中的发现进行对比,以确定如何加快行动,在不同容器和 Kubernetes 之间实施安全控制。
37% 的受访者认为,容器和 Kubernetes 安全事件造成了收入/客户损失。
安全问题可能会对业务造成严重影响。21% 的受访者表示,曾发生安全事件导致员工被解雇;25% 的受访者则表示其企业/机构曾被处罚过。容器和 Kubernetes 安全事件的另一个潜在负面影响是业务增长速度变慢。37% 的受访者认为,容器和 Kubernetes 安全事件造成了收入/客户损失。安全漏洞可能导致关键项目或产品发布延迟,因为企业必须优先考虑安全防护工作,解决开发阶段中遗漏的漏洞。这种延迟可能会给业务造成连锁反应,导致收入损失、客户不满,甚至市场份额被竞争对手夺走。此外,安全事件也可能会导致客户损失,因为客户可能会对企业保护其数据的能力失去信任,并可能寻找安全防护往绩更胜一筹的竞争对手。
大多数受访者已在实施 DevSecOps 计划
大多数企业/机构已开始接纳 DevSecOps——这个术语的意思是,将安全防护融进应用开发生命周期的流程和工具,而不是把安全防护作为一个单独的流程。不过,17% 的企业/机构的安全防护仍独立于 DevOps 运行,而且缺乏 DevSecOps 计划,因此也可能会错失将安全防护整合到软件开发生命周期中的好处,例如提高软件交付的效率、速度和质量。
漏洞和配置错误是容器和 Kubernetes 环境的首要安全问题
超过 50% 的受访者担心存在配置错误和漏洞,因为容器和 Kubernetes 是高度可自定义的。容器运行的动态环境、共享的主机操作系统内核和其他资源,以及大量第三方组件,使得保持一致的安全态势成为一项挑战。总而言之,这使得管理安全配置以及检测和缓解漏洞成为一项极具挑战性的任务,也是我们调查的受访者最为担忧的地方。
使用开源软件是软件供应链安全的一大担忧
软件供应链安全一直是一个热门话题,供应链攻击也在近年急剧增多。调查结果表明,受访者对软件供应链的各个方面感到担忧,其中最担心的是软件漏洞和对开源软件的使用。对软件漏洞的担忧很容易理解,因为软件漏洞可能引发重大安全事故,如数据泄露、恶意软件感染和未经授权访问等。对开源软件的使用给软件供应链带来了一项安全性挑战,因为现代软件开发中广泛使用了开源软件,如果这些软件包含漏洞或维护不当,则也有可能会造成安全风险。
阅读完整报告,了解有关改善安全防护的技巧
如果安全防护只是一种事后补救措施,企业/机构就不能确保安全地构建、部署和管理云原生环境,因而将快速开发和发布应用这一核心优势置于风险之中。我们的调查结果表明,构建和部署阶段发生的情况对安全性会有重要影响,企业中普遍存在的配置不当和漏洞恰恰突显了这一点。因此,安全防护必须提前无缝地嵌入到 DevOps 工作流中,而不是在应用快要部署到生产中时才“临时启动”。
