随着企业寻求更快、更灵活的开发框架，容器和Kubernetes(K8s)的使用持续增加。虽然理论上Kubernetes与传统应用程序相比具有多种安全优势，但它仍然是组织在云原生之旅中最关心的问题之一。这种担忧似乎很有道理。最近的一份报告发现，属于350多个组织(包括多家财富500强企业)的Kubernetes集群可被公开访问，并容易遭受勒索软件等网络攻击。那么，为什么组织会在如此大规模的Kubernetes安全问题上苦苦挣扎呢?

人们经常将安全描述为一场竞赛。通常，这是指安全团队竞相领先不良行为者一步-采用新技术并对新技术和漏洞做出响应。然而，有时，跟上自己的组织的步伐就像采用新技术一样。无论哪种方式，无论企业选择朝哪个方向发展，安全都应该跟上步伐并确保业务安全。

EnterpriseStrategyGroup最近的一份报告发现，Kubernetes的使用即将达到一个“转折点”——到2024年底，82%的组织将使用容器。容器已经使用了十多年。尽管Kubernetes的采用速度并不快，但当一个组织决定尝试新事物时，总会有一个学习曲线。对于Kubernetes，开发人员和安全团队在竞相推出新应用程序时可能会错过一些看不见的陷阱。

速度和安全性之间的折衷对于开发团队来说是熟悉的，并且由于容器采用的主要驱动因素之一是速度和敏捷性，因此Kubernetes的快速采用留下了一些敞开的大门也就不足为奇了。不安全的开发从来都不是一个有意识的决定，但如果企业感受到添加新功能或从头开始开发新产品的压力，就必须做出一些让步。

Kubernetes漏洞通常归结为设计和开发阶段的错误配置。已经提到的时间表是这里的一个因素，但缺乏K8特定知识往往是关键因素。

AquaSecurity的报告指出了数百个易受攻击的容器环境，主要由两个关键的错误配置组成。第一个涉及匿名用户，仅需要单层身份验证，如果通过，可以授予匿名访问权限，包括管理员权限。这类似于跑车上有一把脆弱的锁，而钥匙位于点火装置中。另一个常见的漏洞是集群配置错误，在某些地方将集群暴露给公众。这可以让不良行为者利用“Kubectl”等工具简单地连接到您的Kubernetes集群并开始造成严重破坏。

这个问题并不是K8s独有的，让应用程序在不需要时暴露在互联网上是所有类型应用程序的常见攻击媒介。互联网接入是攻击者入侵的另一扇大门。如果门不存在，那就不是问题了。这又回到了零信任或“最小特权原则”——即使使用云原生应用程序，也不是所有内容都应该始终可访问。

同样，专业人士不会有一天一觉醒来就决定在他们的应用程序中开发安全漏洞。这只是知识差距和快速开发时间表的结果。随着时间的推移，随着开发人员对云原生平台的经验越来越丰富，这些问题将变得不那么常见。这使得对强大的备份和恢复过程的需求更加迫切。网络弹性是多层次的。您永远无法对自己的第一道防线(应用程序安全性)完全有信心，因此企业拥有可以依靠的东西至关重要。

不幸的是，这是Kubernetes的另一个领域，我们看到了陡峭的学习曲线。EnterpriseStrategyGroup关于Kubernetes保护的最新报告发现，33%使用Kubernetes的组织继续使用与正常应用程序相同的数据保护工具和流程。这是个问题。云原生应用程序需要云原生备份解决方案。虽然这些公司会有备份，因此可能会认为它们是安全的，但传统备份无法跟踪Kubernetes的移动部分。这意味着当您尝试恢复数据时，可能会导致性能问题和数据丢失。

如果安全和恢复存在根本缺陷，企业就会完全暴露在勒索软件等攻击之下。由于9月份被记录为有史以来勒索软件攻击最严重的月份之一，企业必须确保采取正确的措施。这并不是呼吁避免或停止使用Kubernetes或基于容器的应用程序，远非如此。

然而，安全需要跟上任何新的发展实践，否则犯罪分子就会趁虚而入。这些环境很难单独掌握，这就是DevSecOps如此重要的原因。开发和安全团队之间的协作可以确保基础设施始终安全，并保持企业正常运行，免受永无休止的勒索软件浪潮的影响。

版权说明：本站所有作品图文均由用户自行上传分享，仅供网友学习交流。若您的权利被侵害，请联系我们

标签：