Sysdig的报告指出,软件供应链持续引入的错误配置和漏洞仍是两个最大的云安全风险。 

尽管零信任是当务之急,数据却显示,零信任架构的基础——最小访问权限,并未得到妥善执行。报告指出,几乎90%的授权未被使用,给盗取凭证的攻击者留下了很多机会。 

以上数据出自对Sysdig客户日常运行的700多万个容器的分析报告。该报告还考虑了从GitHub、Docker Hub和CNCF等公共数据源拉取的数据。南北美、澳洲、欧盟、英国和日本的客户数据也是报告分析的对象。 

87%的容器镜像存在高危漏洞 

几乎87%的容器镜像被发现含有高危漏洞,比去年报告的75%有所上升。有些镜像还不止一个漏洞。Sysdig指出,企业注意到了这种危险,但难以在保持快速发布软件的同时解决漏洞。 

补丁在手而漏洞仍存的原因在于范围和优先级问题。当生产中87%的容器镜像存在高危漏洞时,DevOps工程师或安全工程师要记录和查看的脆弱镜像不说上万也得上千了。 

“全都查一遍并修复需要时间。对大多数开发人员而言,编写代码产出新应用程序才是自己的价值所在,所以他们花在应用补丁上的每一分钟都是在浪费自己开发新应用程序卖钱的时间。” 

有可用补丁的高危漏洞只有15%存在于运行时加载的包中。筛出这些实际在用的脆弱包,企业就能集中精力对付会带来真正风险的一小部分可修复漏洞。 

Java包风险最高

Sysdig按包类型测量运行时加载的包中所含漏洞的百分比,希望探知哪些编程语言、库或文件类型会带来较高漏洞风险。结果显示,运行时加载的包中含有32万多个漏洞,其中61%是Java包“贡献”的。而Java包占运行时加载的所有包的24%。 

运行时包中暴露的漏洞增多会推升受损或遭攻击的风险。Java在运行时暴露的漏洞数量最多。尽管Java不是容器镜像中最流行的包类型,但却是运行时最常用的。 

“因此,我们认为,好人和坏人都会着重利用Java包获得最大回报。漏洞赏金猎手会因为Java包的普及而更专注于挖掘Java语言漏洞。” 

Morin表示,虽然更新一些或更不常用的包类型可能看起来更安全一点,但这可能是因为漏洞尚未被发现,或者更糟糕的情况:漏洞已经被发现了,只是没披露。 

安全左移,防护右移

安全左移指的是将测试、质量和性能评估放到开发生命周期早期阶段。然而,即使采用了完美的左移安全实践,威胁仍有可能在生产中出现。 

Sysdig建议,企业应该遵循安全左移和防护右移策略。防护右移安全策略强调采取各种机制保护和监测运行中的服务。Morin称:“使用防火墙和入侵防御系统(IPS)等工具的传统安全实践不足以做到全面防护。这种方式留有漏洞,因为这些工具无法洞察容器化工作负载,也无法探知周围云原生环境。” 

运行时可见性有助于企业改善安全左移实践。一旦容器投入生产,将运行时发现的问题与底层代码关联起来的反馈循环可帮助开发人员了解该关注哪些地方。静态安全测试也可借助运行时情报确定运行应用的容器内部在执行什么包。 

Morin补充道:“这使开发人员能够调低未使用包的漏洞优先级,转而专注修复可利用的运行时漏洞。每个网络安全计划的目标都应该是全生命周期安全。” 

错误配置是云安全事件的最大元凶

尽管漏洞是个问题,但错误配置仍是云安全事件的首要原因,应引起企业重视。根据Gartner的预测,到2023年,75%的安全失效问题是身份、权限和特权管理不足引发的,2020年时这一比例是50%。 

Sysdig的数据显示,90天的分析窗口中,授予非管理员用户的权限仅10%被使用。 

Sysdig的同比分析揭示,企业要么授予更多员工权限,要么完善自身身份与访问管理(IAM)实践。这家网络安全公司指出,人员用户数量增长可能是业务逐渐转移到云环境或业务增长迫使人员配置增加的副产品。  

今年,Sysdig客户的云环境中58%的身份归属非人角色,去年这一数字是88%。 

非人角色通常是临时性的,如果不再使用却没删除,就会给恶意黑客留下能够轻松访问的接入点。Morin表示:“角色类型的转变可能是由于企业的云采用率上升,而随之而来的就是授予更多员工云访问权限,从而改变了人员角色和非人角色的平衡。” 

授予非人身份的权限中超过98%在至少90天内根本没有被使用。Sysdig指出:“很多时候,这些未被使用的权限被授予了孤儿身份,比如过期测试账户或第三方账户。” 

对非人身份应用最小权限原则

安全团队应像管理人员身份一样对非人身份应用最小权限原则,还应尽可能地删除未被使用的测试账户,预防访问权限风险。Sysdig指出,手动确定未使用权限固然很繁琐,但在用权限筛选器和自动生成的建议可以提高这一过程的效率。 

非人身份和人员身份在应用最小权限原则上都是一样的。企业需要授予人员完成工作所需的最小权限。同样的原则也适用于非人员,例如需要权限完成自身任务的应用程序、云服务或商业工具。这类似于手机上应用程序请求授权访问联系人、相册、摄像头、麦克风等。 

“在这方面,我们还必须考虑对非人实体的访问管理。授予过多的权限和没有定期管理所授权限,都会为恶意黑客提供额外的初始访问、横向移动和权限提升机会。”Morin说道。