Sysdig：2023云原生安全和使用報告（28頁）.pdf

1、Sysdig 2023 云原生安全和使用報告目錄01 概要SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告0202 企業在管理供應鏈風險方面的努力05 數百萬美元浪費在未使用的 Kubernetes 資源上04 成熟的組織正在主動測試其安全姿態03 零信任：多說少做06 使用趨勢和觀點07 方法論08 總結01概要在過去的六年里，我們分享了對客戶數據的分析，為社區提供了對容器使用和安全趨勢變化的報告。這份報告是基于我們的客戶在過去一年中運營的數十億個容器、數千個云賬戶和數十萬個應用程序所收集的數據。這使我們能夠真實地提供容器和云的多種實際使用情況。云安全領域

2、最大的兩個風險是錯誤配置和漏洞，它們通過軟件供應鏈越來越多地被引入到我們的環境中。2023年的報告中我們專門深入探討了這些數據，我們將這兩個安全領域內的 眾矢之的 在2023年的報告中做了深入研究。不幸的是，生產環境中運行的 87%容器鏡像存在嚴重或高風險漏洞。盡管團隊越來越多地采用左移安全策略來盡早和頻繁 review代碼，但它們仍需要保證容器運行 時的安全。這一點從 Falco等技術的廣泛應用中得到了佐證，作為云原生計算基金會（CNCF）的開 源項目之一，Falco 可以幫助組織在云、容器、主機和 Kubernetes環境中檢測運行時威脅。我們的發現讓負擔過重的開發者看到了希望之光，因為數

3、據顯示很多運行在運行時上有漏洞的鏡像都可以進行集中修復。只有 15%的高或嚴重漏洞（存在可用修復方案）在運行時實際被使用。通過基于運行時使用的軟件包進行優先處理并篩選，這能夠顯著減少團隊在追蹤無盡的漏洞上花費的時間。安全領域將零信任視為頭等大事，然而我們的數據顯示，零信任架構的基礎之一：“最小權限訪問權限”并未得到充分執行。實際上，我們發現90%的授權許可未被使用，這為竊取證書的攻擊者留下了許多機會。團隊需要強制執行最小權限訪問權限，因此，這需要了解哪些權限實際上正在被使用。在當前宏觀經濟挑戰下，大多 IT 團隊正在研究減少云計算成本的方法。由于這些環境的短暫性，獲取有關 Kubernetes

4、 部署的準確利用率和成本信息 或權益調整是一項艱巨的挑戰。報告顯示超過 72%的容器壽命不到5分鐘，這與我們之前的分析結果相比大幅上升。SysdigSysdig20232023 云原生安全和使用報告云原生安全和使用報告ExecutiveSummary3當你將短暫的生命周期與集群密度與今年再次增長的數據相結合時，很明顯團隊需要尋找控制成本的方法。我們的數據顯示，各種規模的團隊在其 Kubernetes 環境中可能存在成本超支的情況，最大的部署可能會導致浪費超過 1000 萬美元。非常榮幸地向大家呈現Sysdig 2023云原生安全與使用報告。這些信息對于確定容器和云環境的安全和使用狀態非常有幫助

5、。這些數據還可以幫助制定網絡安全策略和優先事項。我們相信，這些調研結果可以幫助各種規模和各種不同上云階段的團隊。關鍵趨勢安全授予的權限未被使用90%容器鏡像有高?；驀乐氐穆┒?7%高?；蛑旅┒丛谶\行時中被使用15%容器壽命不到5分鐘（去年為44%）72%容器使用運行超過1,000個節點的公司可以節省超過1000 萬美元的CPU資源未被使用(去年為34%)69%ExecutiveSummary4SysdigSysdig20232023 云原生安全和使用報告云原生安全和使用報告02企業在管理供應鏈風險方面的努力針對軟件供應鏈的攻擊越來越多。SolarWinds 的事件提高了人們對這種風險的警惕性

6、。就在最近發生的事：美國聯邦文職行政部門（FCEB）遭受了攻擊，它加劇了人們對這類風險的擔憂。與此同時，伊朗政府利用 Log4Shell 漏洞部署了一個加密貨幣挖礦器，通過竊取憑據在 FCEB 環境中持續進行挖礦服務。開發團隊越來越依賴開源軟件和第三方代碼，這也帶來了接觸已知和未知安全漏洞的風險?！霸谠圃h境中，漏洞的數量和復雜程度可能會令人不知所措。我們的開發人員和安全團隊采取分層方法來審查和分類漏洞的實際風險。通過關注那些具有較高風險的漏洞，即那些被認為是高?；驀乐丶墑e的漏洞，或者是那些存在的公共漏洞，可以讓我們能夠有效地優先考慮和集中精力采取強力措施。-Michael Bourgaul

7、t,IT Security Manager,Arkose LabsSysdigSysdig20232023 云原生安全和使用報告云原生安全和使用報告Organizations Struggle to ManageSupply ChainRisk587%的鏡像存在高?；驀乐氐穆┒闯鲇谙?Log4Shell和Text4Shell 這些備受矚目的漏洞和攻擊工具，加上政府組織對網絡安全的加強指導，已經導致許多團隊將注意力集中在應用程序安全測試上。即使面對這些備受矚目的漏洞，實際上解決這一風險的進度仍然很低。令人震驚的是，87%的鏡像包含高?；驀乐氐穆┒?，比我們去年報告的 75%還要高。當您按照鏡像中漏

8、洞數量而不是受漏洞影響的鏡像數量來查看數據時，71%的漏洞有可用的修復方案，但尚未應用。請注意，有些鏡像可能存在多個漏洞。團隊盡管意識到了危險，但在保持軟件發布速度的同時解決漏洞仍然是一項挑戰。修復被認為是重要的東西：15%的高危和嚴重漏洞在運行時被使用盡管需要修復的軟件漏洞清單好像一眼望不到頭，但仍然可以有機會減少時間浪費，轉而提高網絡安全。根據我們的研究發現，僅有 15%的嚴重和高危的漏洞在運行時加載的軟件包中存在可用的修復方案。通過篩選那些實際使用中的漏洞軟件包，組織團隊可以將他們的精力集中在修復真正有風險的、有可修復方案的這小部分上。這是一個更具可行性的數字，并且可以緩解一些與發布決策

9、相關的擔憂，集中整改工作，前提是組織使用了相關的安全功能。運行時聚焦于“左移”的功效在鏡像中每天都會發現新的漏洞，但是在規?；鼐S護多個Workloads 時，修復每一個漏洞是不切實際的。成功的現代漏洞管理模式，需要安全團隊根據漏洞對組織實際風險做評估，綜合考慮。SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告Organizations Struggle to ManageSupply ChainRisk6常用于優先考慮漏洞修復工作的方法包括：Common VulnerabilityScoringSystem(CVSS)通用漏洞評分系統-指定已知問題的嚴重程

10、度 可利用性-表示是否存在已知的利用漏洞的路徑 可修復性-標識是否有可用的修復程序來解決漏洞解決正在運行且存在被已知漏洞利用的軟件包應該是首要任務。我們發現，我們的客戶積極主動地修復易受攻擊且在運行時加載的漏洞。當我們結合漏洞的多個標準（修復可用性，易受攻擊性和運行時加載的軟件包）時，在我們分析的25000 個鏡像中找到的漏洞僅占2%。應對不可修補漏洞的風險有些漏洞可以被攻擊者使用，但沒有可用的修復方案來減緩這些潛在威脅。這些漏洞數量雖小，但意義重大，它們對安全團隊產生了極大的影響，因為他們必須評估可利用漏洞的風險，并在沒有公共漏洞和暴露（CVE）補丁或修復方案的情況下確定替代的修復策略。當可

11、利用的漏洞必須留存在您的環境中時，安全團隊可以通過實施運行時安全檢測來減小影響并降低風險。運行時保護通常由一些規則驅動，但也應采用多層方法，包括行為異常檢測和基于人工智能（AI）或機器學習（ML）的檢測。這種方法提高了零日攻擊和尚未知曉威脅的檢測和緩解能力。運行時保護機制還可以調整以檢測針對組織獨特環境中易受攻擊 Workloads 的新型威脅。通過來自威脅研究團隊的情報，增強檢測機制，當有關行為有新信息或發現可用時進行定期更新。只有不到1%的JavaScript包在運行時被使用理想情況下，一個鏡像應該只包含完成其工作所需的代碼。預打包和開源鏡像可能會包含您的應用程序不需要的包，這就被稱為鏡像

12、膨脹。安全團隊可以通過刪除第三方鏡像中經常出現的、不必要和未使用的軟件包來減少總的漏洞數量。SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告Organizations Struggle to ManageSupply ChainRisk7我們對超過630萬個運行鏡像的包類型進行了研究，以確定最常用的四種包類型。然后，我們分析了這些鏡像，以確定哪些類型的包具有最多的冗余數據。結果是 JavaScript 的包數量最多，不到1 的軟件包會在運行時被加載。因此，這是減少冗余數據的最佳選擇，同時也能最大限度地減少需要修復的漏洞數量。盡管鏡像瘦身需要一定的時間，但這樣

13、做會減少鏡像掃描的時間和漏洞數量。在精簡軟件包和鏡像中投入的時間最終可以節省交付和運行時間成本。如果考慮到云基礎設施成本和資源的投入，這些成本是相當可觀的。為了最小化鏡像的體積，只需包含必要的包，使用最優的基礎鏡像，合并指令并使用多階段構建，并確保在 COPY 步驟中列出需要的文件。Java 包的風險最大，占運行時暴露漏洞的六成以上我們計算了運行時加載包的漏洞百分比，根據包的類型來衡量哪種語言、庫或文件類型帶來的漏洞風險最大。在運行包中的32 萬多個漏洞中，Java 包占61%。這個結果有些出乎意料，因為Java 包只占運行時加載的包的24。操作系統（OS）包也是有風險的，因為它們包含了37的

14、漏洞。Golang 是一種較不常見的包類型，但即使考慮到這一點，它的漏洞風險也較低。有趣的是，雖然JavaScript 包更為普遍，但很少有包在運行時加載，如右側的圖表所示。它們所占的漏洞比例要小得多。SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告Organizations Struggle to ManageSupply ChainRisk8選擇適合的基礎鏡像操作系統可以將鏡像冗余減少 98%大多數人使用基礎鏡像是因為比創建我們自己的鏡像容易。從我們客戶的使用情況來看，Red Hat Enterprise Linux(RHEL)，包括Red Hat UB

15、I(通用基礎鏡像)，是最受歡迎的基礎鏡像，占46%。這比去年增長了10%。這可能是因為RHEL 在企業中有著悠久的使用歷史，并且在組織轉向云原生workload 時是一個容易讓人接受的選擇。有意思的是，只有16%的人使用一種輕量級Linux 發行版：Alpine。這一數字較去年下降了，去年為25%。根據crunchtools的數據，標準未壓縮的UBI 鏡像大小為228MB，而Alpine 鏡像僅為5.7MB。通過使用像Alpine 這樣的精簡基礎鏡像，企業可以將其容器環境的冗余程度減少97.5，從而減少其攻擊面。這也會減少需要修復的操作系統漏洞數量，因為僅有8的漏洞在運行時加載的操作系統軟件包

16、中。公共鏡像倉庫中有危險的鏡像在2022 年Sysdig云原生威脅報告中，Sysdig研究團隊收集了基于惡意IP 的惡意鏡像，或域名和密鑰。這些鏡像可能會對從Docker Hub 下載和部署公開可用的應用的用戶造成風險，增加了被攻擊的可能性。在已識別的 1,777 個惡意鏡像中，右圖圖表中顯示了包含的惡意內容的類型。SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告Organizations Struggle to ManageSupply ChainRisk903零信任：多說少做1 1Gartner,Gartner,BestBestPracticesPrac

17、ticesforfor OptimizingOptimizing IGAIGA AccessAccessCertification,Certification,GauthamGautham Mudra,Mudra,4 4 AprilApril 2022.2022.GartnerGartneris isa a registeredregisteredtrademarktrademarkandand service service markmarkofof Gartner,Gartner,Inc.Inc.and/orand/or itsitsaffiliatesaffiliatesinin the

18、the U.S.U.S.andandinternationallyinternationallyandandis isusedusedhereinhereinwithwithpermission.permission.AllAll rightsrightsreserved.reserved.漏洞只是云安全范疇的一小部分。配置錯誤仍然是安全事件中最大的主因，因此這應該是團隊最擔心的問題之一。根據Gartner 的預測，“到2023 年，75%的安全故障將由身份、訪問和權限管理不足引起，而2020 年這一數字為50%?！北M管許多團隊正在談論零信任原則，例如實施最小權限原則，但我們的數據顯示，幾乎沒

19、有行動的證據。授予權限的 90%沒有被使用今年我們發現了一個令人震驚的結果：實際使用的權限數量與授予非管理員用戶的權限數量之間存在巨大差距。數據顯示，在90 天的時間窗口內，僅有10%的非管理員用戶被授予的權限被實際利用。我們還發現，管理員僅使用了其權限的一小部分。當然，將權限減少到必需的最小程度，并且最大程度地減少具有管理員權限的用戶數量，這對于降低風險至關重要。在組織中，很難確定誰需要什么權限。DevOps 團隊往往會授予比所需權限更多的權限，以確保功能正常工作，而安全性次之。此外，云服務供應商及其提供的服務每年增長得非常迅速。不斷增加的服務也會增加權限。我們通常會將角色和授權視為人類或傳

20、統用戶的問題。但應用程序、云服務、商業工具以及許多其他實體（或機器身份）也必須得到適當的認證和授權。類似于手機上的應用程序請求訪問您的聯系人、照片、相機、麥克風等權限，我們還必須考慮管理這些非人類實體的訪問權限。SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告ZeroTrust:Lots of Talk,LittleAction1058%的身份是非人類角色Sysdig 的年度分析表明，我們的客戶要么是向更多的員工授予訪問權，要么正在完善其身份和訪問管理(IAM)實踐。前一種情況中，人類用戶人數的增長，這些可能只是將更多業務遷移到云環境或因業務增長而增加員工的

21、一些附加產物。團隊可以通過減少運行必須受到安全保護和維護的系統所需的機器身份數目，來完善其身份和訪問管理實踐。去年，我們發現在Sysdig客戶的云環境中，88%的身份是非人類角色。而今年，這個比例下降到了58%。至少，團隊需要了解所有非人類身份及其相關權限。我們發現，授予非人類身份的權限中有超過 98%在至少90 天內沒有被使用。通常，這些未使用的權限被授予給了一個臨時的身份，比如過期的測試賬戶或第三方賬戶。團隊應該像管理人類身份一樣，對非人類身份也使用最小特權原則。他們還應該盡可能刪除未使用的測試賬戶，以防止訪問風險。雖然手動逐個地確定這些賬戶很繁瑣，但使用權限過濾器和自動生成的建議可以使這

22、個過程更加高效?！皩ξ覀儊碚f，關鍵是要了解我們在哪些地方有過度許可的身份，由于規模較大，我們需要一種自動化的方式來管理它們。試圖遵守最小特權的原則，消除過度的權限是一個最重要的安全優先事項?！?Georgia Bekiaridou,Security PO,BSysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告ZeroTrust:Lots of Talk,LittleAction11只有 16%的用戶遵守了身份認證的最佳實踐去年我們發現有27%的Sysdig客戶在進行管理和日常任務時使用了他們云環境中的root 賬戶。云安全最佳實踐和AWS 的CIS 基準指南表明

23、，團隊應避免這樣做，并建議創建具有有限但適當權限的專用角色來執行管理任務。今年，我們對所有擁有管理員權限的Sysdig客戶賬戶進行了更深入的研究，并決定計算一個風險評分。這些風險評分考慮了客戶云賬戶中安全狀況不佳的比例。我們將其定義為擁有管理員訪問權限、未啟用多因素身份驗證（MFA）和賬戶不活躍達90 天以上的賬戶。這些都是攻擊者喜歡找的條件，因為它們提供了更容易訪問賬戶的方式，并降低了被發現的幾率。SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告ZeroTrust:Lots of Talk,LittleAction1204成熟的組織正在主動測試其安全姿態這

24、些普遍存在的情況：未打補丁的漏洞、過度配置的身份和風險配置，更加突出了檢測異常行為和立即調查潛在威脅的必要性。MITRE 頂級檢測策略:防御規避和特權升級根據我們對Falco 規則與MITRE ATTCK Framework 的分析，我們看到特權升級和防御逃避標記的規則最常被觸發。幸運的是，大多數這些事件并沒有直觀的表明具有實際的惡意攻擊，而是歸因于客戶使用主動威脅分析來了解在哪里實施安全防線。我們看到了這些規則被觸發的三個原因，首先有證據表明安全掃描是主因，這表明團隊正在積極主動地測試檢測和阻止企圖入侵的能力。改進測試程序以減少警報疲勞接下來，一些事件是由合法的、需要提升權限的服務觸發的?？?/p>

25、以通過適當調整規則以針對特定服務來解決這些警報。最后，我們認為一定比例的警報是由于不良實踐導致的，可以通過制定并遵循容器安全最佳實踐來解決。例如，在實時容器中不應進行軟件包管理。軟件包管理器會下載工具，運行二進制文件，并進行大量的文件系統更改，這可能觸發警報。SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告MatureOrganizations Are ProactivelyTesting Their SecurityPosture13Sysdig威脅研究團隊（SysdigTRT）根據自動化威脅源、開源代碼的手動分析以及從其托管的“蜜罐”中收集的數據構建Fa

26、lco 規則。任何檢測規則都應該由供應商定期進行調整，以適應不斷變化的威脅環境，并根據可能引起誤報的自身活動進行個性化調整。例如，SysdigTRT 定期更新針對已知和新的惡意活動的規則Outbound Connection to C2 Servers 和Malicious Filenames Written。此外，我們看到我們的客戶專注于捕捉與持久性和特權升級規則有關的日志活動。一小部分客戶甚至正在修改和定制由Sysdig提供的默認Falco 規則，這表明他們在改善檢測并減少誤報方面具有安全認知，并在慢慢提高安全成熟度。主要的生態系統供應商正在采用Falco由于未打補丁的漏洞和過度授權身份的

27、存在，突出了運行時安全的需求。容器運行時威脅檢測正在成為主流，大型生態系統提供商認識到需要幫助客戶解決針對云原生應用程序的安全性問題。主要的云提供商以及許多關鍵技術供應商正在利用開放標準，并基于Falco 構建和推薦解決方案。BroadBroadadoptionadoption ofof Falco Falco detectiondetectionrulesrulesandand librarieslibrariesFalco,Falco,thethe openopen source source projectprojectcreatedcreatedbybySysdigSysdigFalc

28、oprovides real-time visibility into yourcontainers,hosts,andcloud services,detectingunexpected behavior,intrusions,and data theft.Falcowascreated by Sysdig and contributed to theCloud Native ComputingFoundation(CNCF).AWSFargate serverless runtimesecuritygVisor container sandboxsecurityMicrosoft Defe

29、nder datacollectionHPEEzmeral runtimesecuritySysFlowtelemetryandsecurityDatacollection AnomalydetectionSysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告MatureOrganizations Are ProactivelyTesting Their SecurityPosture1472%的容器壽命不到五分鐘容器的壽命本來就很短，過去幾年中，近一半的容器壽命都不到五分鐘。但是，今年這個數字增長到了70%以上，容器壽命少于五分鐘。這是一個巨大的飛躍，強調了持續

30、威脅檢測和調查記錄的必要性，因為容器可能只存在幾秒鐘。我們無法確定，但我們推測，隨著企業的成熟和使用容器運行更多短期功能（類似于使用無服務器環境的方式），公司的業務會變得更加高效。為什么容器的壽命如此短呢？因為許多容器只需要在執行函數時存在足夠長的時間即可，在完成任務后終止。幾秒鐘可能很短，但對于一些進程來說，這就足夠了。容器短暫性仍然是這項技術的獨特優勢之一，因為容器鏡像是可以根據需要進行更改的。然而，這也為監視、安全和合規性帶來了問題，因為許多工具無法報告不再存在的實體。83%的容器以root 身份運行由于企業專注于修復漏洞，他們可能沒有掃描常見的配置錯誤。我們看到以root 身份運行的鏡

31、像從76%增加到83%，使得有特權的容器有可能被破壞。通過與我們的客戶交談，在實踐中，即使在運行時檢測到有風險的配置，團隊也不會停止這些容器，因為他們不想減緩其部署進度。相反，他們在一個寬限期內運行，然后決定補救措施的步驟。雖然有些容器需要這種級別的權限來執行它們的預期功能，但這個數字高得驚人，而且這種趨勢正朝著錯誤的方向發展。SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告MatureOrganizations Are ProactivelyTesting Their SecurityPosture1505數百萬美元浪費在未使用的Kubernetes 資源

32、上在像Kubernetes 這樣的短暫、動態的環境中，跟蹤成本和使用情況本質上是困難的。團隊通常忽略了為容器設置可以使用的資源限制。此外，在允許開發人員選擇他自己的容量需求的環境中，可能會導致過度分配的問題，而這些過度分配很少受到審計和調整。在我們最大地區的客戶中，我們發現59%的容器沒有定義CPU 限制，49%沒有定義內存限制。在未使用的資源方面，請求的CPU 核心平均有69%沒有被使用，請求的內存平均有18%沒有被使用。進一步研究容器效率，我們的內部報告表明，平均而言，69%的容器使用的 CPU 資源請求量少于請求總量的 25%。如果不知道集群的利用率，團隊可能會因為過度分配而浪費錢，或者

33、因為資源耗盡而導致性能問題?？紤]到AWS 定價的平均成本，擁有大約150 個Kubernetes 節點的團隊可能會因為未充分利用CPU 資源而每年多花費高達98 萬美元。部署規模更大的公司，即200 至500 個節點之間的公司，可能每年因為未使用的資源而浪費高達130 萬美元，而擁有超過1,000 個節點的公司可能每年可以減少高達1080 萬美元的浪費開支。Millions Wasted on UnusedKubernetes Resources16SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告06使用趨勢和觀點持續開發和鏡像壽命容器是敏捷管理的理想伴侶，

34、它加速了代碼開發和發布，通常作為容器化的微服務。我們的鏡像壽命數據反映了代碼發布時間間隔的變化，CI/CD 流水線正在幫助開發團隊，比以往任何時候都更快速度地交付軟件。數據顯示，大約有一半的容器鏡像在一周或更短的時間內被替換，也可以稱為迭代。對于今天的大多數企業來說，快速上市的速度很重要，這對于保持競爭力來說至關重要。代碼被更頻繁地部署，這就產生了新的容器鏡像。容器為企業提供了他們所需要的東西，快速將想法變成現實應用。服務壽命服務是我們應用程序的功能性軟件，例如數據庫軟件、負載均衡器和自定義代碼，這些組件不斷得到改進。然而，同時，保持服務全天候運行以滿足客戶期望也同樣重要。數據顯示，與去年相比

35、，服務壽命保持相對一致。SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告UsageTrendsandInsights17容器倉庫容器倉庫為托管和管理容器鏡像提供了倉庫。今年，我們看到Red Hat 和IBM 倉庫的采用率都翻了一番。Quay 和Docker 的使用略微降低，總共客戶采用率為42%。我們還比較了從公共和私人倉庫拉取的容器數量。我們發現，相比去年，公共資源信任度從61%降至56%。使用公共倉庫存在風險，因為很少有經過驗證或檢查漏洞的。在某些情況下，使用公共存儲庫的方便可能超過風險，但最佳實踐是規定哪些存儲庫被批準用于團隊中。私人存儲庫的使用量同比

36、增長表明團隊從公共存儲庫轉向更加安全成熟的存儲庫。鏡像掃描無論容器鏡像來自私人還是公共存儲庫，在部署到生產環境之前掃描它們并識別已知的常見漏洞和公開漏洞是至關重要的。我們評估了客戶部署的所有鏡像以檢測操作系統和非操作系統漏洞。我們發現，操作系統包中的漏洞比非操作系統包少，這可能是因為它們通常由行業供應商支持和維護。操作系統漏洞快照我們注意到，操作系統漏洞中有3%是高?；驀乐氐?，相對于去年沒有太大變化。雖然這看起來很低，但如果操作系統漏洞被利用，它可能會危及整個鏡像并導致應用程序崩潰。此外，操作系統漏洞的影響范圍可能很大，因為許多不同的workload 可能同時受到影響。SysdigSysdig

37、2023 2023 云原生安全和使用報告云原生安全和使用報告UsageTrendsandInsights18非操作系統漏洞快照很多團隊沒有檢查第三方庫中的漏洞，可能是因為他們認為由別人發布的軟件包已經得到了保障并定期維護。我們發現52%的非操作系統軟件包存在高?；驀乐爻潭鹊穆┒?，與去年相比僅略有減少。開發人員可能會不知不覺地引入來自非操作系統開源軟件包（如Python PIP或Ruby Gem）的漏洞，從而引入安全風險。了解第三方依賴關系并確定它們是否真的可以被利用一直是一個挑戰，在實踐中，組織可以使用運行時上下文增強的方法來提高漏洞檢測和修復的效率。在構建階段 vs 運行時掃描沒有跡象表明安

38、全程序的成熟度，關于測試在開發生命周期的哪個階段進行。在比較鏡像工作流程中第一次掃描的位置時，過去一年中這個數字相對不變。運行時掃描如此之高的一個可能原因是由于從供應商下載的第三方軟件。這些通常被認為是可信來源，因此DevOps 團隊可能會認為鏡像是安全的，從而節省了在CI/CD 流水線中進行掃描的時間和精力，從而直接跳到運行時掃描。然而，在“向左移動”的綱領中，最好在CI/CD 流水線中掃描鏡像以確保安全性在部署之前。運行時掃描的逐年小幅下降告訴我們，“向左移動”正在開始發生，或者組織正在發展壯大，從供應商提供的鏡像轉向團隊自定義鏡像。SysdigSysdig2023 2023 云原生安全和

39、使用報告云原生安全和使用報告UsageTrendsandInsights19容器和 Kubernetes每年，我們都會查看與容器和Kubernetes 相關的詳細信息，包括容器密度和生命周期。這給我們提供了對容器采用率的使用信息，同時也展示了規模和效率的具體情況。在本節中，我們還回答了一些問題，比如：客戶操作多少個集群？每個節點運行多少個Pod？集群使用了多少容量？我們研究了客戶在Kubernetes 上的各種操作細節。由于Sysdig自動收集Kubernetes 的標簽和元數據的機制，我們能夠為所有數據信息提供云本地化的上下文，從性能指標和告警到安全事件。這種能力還使我們能夠捕獲從集群到Po

40、d 和容器的使用指標，只需一個簡單的查詢即可實現。容器密度在過去的六年中，每份報告中每臺主機的中位數容器數量都有所增加。今年，該數字再次同比增長了24%，達到平均值57 個。有可能組團隊正在學習如何更高效地使用容器，例如使用更大的實例規?；蚋〉娜萜?。容器的主要目標是加快開發和部署速度，并且許多團隊正從容器的效率中受益，增加了硬件資源的利用率。SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告UsageTrendsandInsights20Kubernetes 集群和節點一些客戶維護著幾個大型的集群，而另一些客戶則有多個大小不同的集群。本節的圖表展示了Sysd

41、ig平臺用戶的集群數量和每個集群的節點分布情況。大量單一集群和相對較少的節點數量表明許多企業在使用Kubernetes 上還處于早期階段。我們也意識到，在公有云中使用托管的Kubernetes 服務是影響這些數據點的另一個因素。今年，我們觀察到整體上大型集群數量減少，每個集群的節點數量增加。這可能表明云原生部署開始通過更有效地利用而開始走向成熟。SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告UsageTrendsandInsights21Kubernetes 命名空間、部署和 pods命名空間Kubernetes 命名空間提供了邏輯隔離，有助于在多個用戶、

42、團隊或應用程序之間組織集群資源。Kubernetes 從三個初始命名空間開始：default、kube-system和kubepublic。命名空間的使用因組織而異，但是云團隊通常會為每個應用程序使用一個唯一的命名空間。每個命名空間的部署數量部署描述pod 和ReplicaSets的期望狀態，有助于確保一個或多個應用程序實例可用于服務用戶請求。部署代表一個由多個相同pod 組成的集合，沒有唯一的標識符，例如NGINX、Redis或Tomcat 的部署。每個命名空間的部署數量提供了一個概念，即有多少服務組成了我們用戶的微服務應用。今年，我們看到一個輕微的轉變，即每個集群有更多的命名空間，每個命名

43、空間有更多的部署。這可能表明這些云原生環境正在發展成熟。SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告UsageTrendsandInsights22PodsPods 是Kubernetes 中最小的可部署對象。它們包含一個或多個容器，共享存儲和網絡，并包含容器運行的規范。每個節點的 Pods 數量Pod 將一直保留在節點上，直到其進程完成、Pod 被刪除、Pod 由于缺乏資源而從節點中驅逐出去，或者節點異常。今年，我們看到了每個集群中Pod 數量的顯著增加，54%的客戶運行了超過 100 個 Pod。這一數字今年增加到了 62%。同樣地，運行每個節點上超

44、過25 個 Pod 的客戶數量也從去年的 28%增加到了今年的48%，表明客戶正在運行更少的集群（如上所示），并在這些集群上部署更多的 Pod。SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告UsageTrendsandInsights23容器,鏡像和告警每個組織的容器數量為了了解企業目前的運營規模，我們研究了每個客戶在其基礎設施中運行的容器數量。61%的客戶運行超過250 個容器。在高級用戶中，只有6%的客戶管理超過5,000 個容器。DevOps 和云計算團隊報告稱，一旦證明了收益，采用的速度就會加快，因為更多的業務部門會考慮加入新平臺。然而，今年的情況

45、表明，總體上容器數量有所增加。這種轉變可能表明，更多的workloads 正在轉向容器，遠離傳統的架構，或者基礎設施越來越高效，能夠處理越來越多的容器。每個集群的 Daemonsets 數量穩步增長Daemonsets可以確保在Kubernetes集群的每個節點上都運行某項服務。這樣可以簡單地部署需要在每個地方運行的服務，而無需處理單個配置。然而，作為一個 Daemonset 部署的服務如果使用的資源過多，可能會導致更大的性能問題。關注你的 Daemonset 并確保它們正常運行是至關重要的。我們看到Daemonset的使用增加了，從 2020年 1月平均每個集群6 個，到 2023年 1 月

46、平均每個集群12個。SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告UsageTrendsandInsights24告警對我們客戶設置的警報類型趨勢的分析幫助我們了解，用戶將哪種條件認為對其容器操作最有可能造成破壞的條件。前十種警報條件目前，我們的客戶使用了超過800 種獨特的告警指標。下面的圖表中表示了最常用的告警指標，以及每個使用這些指標的客戶的百分比。Kubernetes.node.ready仍然是最常見的，以及重要的資源和可用性指標。這些最常用的告警在過去三年中保持一致。告警途徑我們分析了用戶配置用于接收告警的通信渠道。今年使用Slack 的用戶數量

47、增加，從一年前的36%增加到43%。這很可能是Slack 被用于在正常工作時間內處理非關鍵性的警報的原因，而像PagerDuty 這樣的解決方案則更加適用于“把人從睡夢中喚醒”的告警。向遠程工作的轉變可能在這里起到了作用，因為隨著這一趨勢的增長，Slack 的使用量總體上增加一些。使用Webhook 的用戶數量也從去年的14%增長到今年的24%。隨著工作環境的變化，可能會采用新工具，在此之前，仍會增加Webhook 的使用。SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告UsageTrendsandInsights25這里有一些沒有配置通知渠道的告警，但這并

48、不一定是件壞事。這可能是因為該警報僅用于提供信息，或者因為Sysdig平臺本身提供了足夠的信息來滿足相關警報的需求?？蛻粽谶\行哪些服務？容器中運行的頂級開源解決方案開源軟件已經改變了企業進行計算的方式，不僅為基礎設施提供創新動力，還為應用程序開發賦能。Sysdig自動發現容器內的進程，使我們可以立即了解到構成客戶在生產中運行的云原生服務的解決方案。以下是Sysdig客戶部署的前12 種開源技術：鑒于開源社區提供的各種選擇，令人驚訝的是，我們列表中使用最多的服務在過去四年中保持了相當的穩定性。今年，我們看到NGINX、Go(也稱為Golang)和Java 都有了顯著增長。這很可能是由于云原生開

49、發人員的增加，因為這些服務通常用于在云中構建應用程序。我們故意省略了 Kubernetes 組件，如etcd和fluentd，以及Falco。因為這些組件是默認部署的，它們最終會出現在每個 Kubernetes 用戶的列表中。自定義指標SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告UsageTrendsandInsights26自定義指標解決方案為開發人員和DevOps 團隊提供了一種方式，以收集唯一的指標來檢測某些代碼。這種方法已經成為在云生產環境中監控應用程序的流行方式，還包括跟蹤和日志分析。Prometheus 保持了強大的領先優勢，在所有收集的自定

50、義指標中略有增長，達到89%。StatsD下降了一半，從13%下降到只有6%，而JMX 指標保持不變。隨著新的編程框架的廣泛使用，像JMX 指標(用于Java 應用程序)和StatsD這樣的替代方案繼續下降。很明顯，隨著Prometheus 和Kubernetes 之間的聯系越來越緊密，越來越多的組織在向云原生架構轉移時喜歡采用Prometheus 指標。07方法論本報告的數據來自于對我們客戶每天運行的超過七百萬個容器的分析。我們還從GitHub、DockerHub 和CNCF 等公共數據源中提取數據。這些數據源涵蓋了各行各業的容器部署，涉及中等市值到大型企業的組織規模。我們分析了來自北美、南

51、美、澳大利亞、歐盟、英國和日本的匿名客戶數據。Methodology27SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告08總結企業正在迅速采用容器化微服務、CI/C D和按需的云服務來加快創新。然而，變化如此之快也帶來了風險，因為云擴展和云原生應用程序的復雜性暴露了DevSecOps流程的成熟度不足的問題。此外，來自于配置錯誤和漏洞的供應鏈風險已經成為一個重要的關注領域。我們的研究表明，盡管人們對所需工具和零信任方法的益處有所認識，但云安全流程仍然落后于云計算應用的快速發展速度。從我們所調查的實際客戶數據中可以看出，有幾個安全實踐領域需要改進以減少風險：身

52、份和訪問管理：所授予權限與所需權限之間的巨大差距，表明用戶需要定期測量和管理權身份和訪問管理：所授予權限與所需權限之間的巨大差距，表明用戶需要定期測量和管理權限以減少攻擊面。限以減少攻擊面。.漏洞管理：在生產環境中運行的大多數容器鏡像存在高風險漏洞，團隊必須解決鏡像冗余的問漏洞管理：在生產環境中運行的大多數容器鏡像存在高風險漏洞，團隊必須解決鏡像冗余的問題，并根據實際運行時風險優先處理漏洞。題，并根據實際運行時風險優先處理漏洞。檢測和響應：特權升級和防御逃避攻擊是我們客戶威脅清單的頭號問題。為了在不斷變化的檢測和響應：特權升級和防御逃避攻擊是我們客戶威脅清單的頭號問題。為了在不斷變化的威脅環境

53、中保持領先地位，應定期更新威脅檢測規則以便發現惡意活動。威脅環境中保持領先地位，應定期更新威脅檢測規則以便發現惡意活動。除了安全外，今年的數據表明，組織可以通過處理未使用的Kubernetes 資源來降低云成本。在容量規劃方面投入時間可以獲得良好的回報。通過實施適當的容器資源限制和持續監控，組織將能夠在不犧牲應用程序性能的情況下控制成本。我們第六期年度報告的主要趨勢突顯了容器環境持續增長，和越來越依賴開源解決方案，我們需要穩定運行和保護它們的安全。針對云和容器設計的自動化和可擴展工具的市場在不斷擴大，這可以幫助團隊更有效地發現威脅和風險，避免遺漏，聚焦于具有最大影響力的行動，避免浪費時間。感謝你閱讀Sysdig 2023年云原生安全和使用報告。我們期待著在未來的一年里關注和記錄容器市場的發展。明年見！Conclusion28SysdigSysdig2023 2023 云原生安全和使用報告云原生安全和使用報告