2024年Kubernetes 安全防护状况

2024版 红帽调查报告 内容摘要 执行摘要 关于本报告 重要发现 云原生技术正在改变企业组织开发、部署和扩展应用的方式。云基础架构可扩展、敏捷且灵活，企业组织借助它能够缩短产品上市时间、提高效率并增强创新能力。然而，由于网络攻击变得日益复杂，企业组织必须采取强大的安全措施，在混合云环境中保护敏感数据、防止数据泄露以及遵守监管标准。为了实现这一目标，许多IT企业组织纷纷投资先进的安全防护平台，并实施安全至上的协作式流程，保护关键系统、工作负载和数据。事实上，近50%的公司优先将资金投入到了IT安全防护领域。1 发现1：安全问题影响业务成果 发现2：安全漏洞会对所有人造成影响 发现3：在生命周期的所有阶段都会发生安全事件 发现4：安全策略令人担忧 发现5：安全责任分散 红帽和Illuminas将容器工作负载和Kubernetes作为重点，针对全球各种规模的企业组织内部DevOps、工程和安全防护专业人士开展了调查。2024版《Kubernetes安全状况报告》根据这些数据编写而成，探讨了企业组织目前在云原生安全防护领域遇到的一些最常见挑战，以及这些挑战对业务造成的影响。我们调查了企业组织最关注的一些特定安全风险（包括软件供应链和应用运行时漏洞），以及企业组织为化解这些问题所采取的措施；确定了企业组织在Kubernetes环境中遇到的安全事件的类型和频率；研究了开发、安全防护和运维团队各自所承担的Kubernetes安全防护责任比例，揭示了最新的DevSecOps采用趋势；最后，我们提供了一些指导，帮助客户降低应用生命周期内出现风险的几率。 发现6：DevSecOps实践很普遍 发现7：Kubernetes带来新的安全挑战 发现8：企业组织致力于解决高风险问题 发现9：安全问题可能导致严重的后果 发现10：风险管理对于软件供应链来说至关重要 发现11：对软件供应链安全性的担忧真实存在 发现12：有助于提升软件供应链安全性的工具 尽管实现全面的容器和Kubernetes安全防护具有挑战性，但这可帮助您加快创新速度，为企业组织带来更多价值。利用我们的调查结果，您可以评估自己的Kubernetes安全防护水平，发现需要改进的方面，并深入了解如何缩小安全防护差距。通过不断改进安全措施，您可以保护关键业务资产并主动进行安全防护，确保基础架构和应用功能完备且具有弹性。 发现13：企业组织利用开源工具实现Kubernetes安全防护 增强容器和Kubernetes的安全性 关于我们的受访者 开始使用红帽Kubernetes高级集群安全防护 请继续阅读，了解红帽调查获得的13项重要发现。 关于本报告 执行摘要 关于本报告 重要发现 2024版《Kubernetes安全状况报告》是根据红帽赞助的一项针对美国（U.S.）、英国（U.K.）和亚太地区（APAC）600名DevOps、工程和安全专业人士的调查结果编写而成，这项调查的目的是了解容器、Kubernetes和云原生安全防护方面的新兴趋势。相关数据是通过对受访者进行21分钟的网上访谈和电话访谈的形式收集的，这些受访者来自在线样本库和第三方数据库。调查时间为2023年12月至2024年1月。 发现1：安全问题影响业务成果 发现2：安全漏洞会对所有人造成影响 发现3：在生命周期的所有阶段都会发生安全事件 发现4：安全策略令人担忧 受访者概况： 发现5：安全责任分散 ►专注于应用、平台、基础架构、运维、安全防护或者软件架构或开发的IT专业人士►来自拥有超过100名员工的公司►来自拥有内部应用开发团队的公司►来自目前使用容器的公司 发现6：DevSecOps实践很普遍 发现7：Kubernetes带来新的安全挑战 发现8：企业组织致力于解决高风险问题 发现9：安全问题可能导致严重的后果 发现10：风险管理对于软件供应链来说至关重要 受访者统计数据 发现11：对软件供应链安全性的担忧真实存在 发现12：有助于提升软件供应链安全性的工具 工程专业人士 DevOps专业人士 发现13：企业组织利用开源工具实现Kubernetes安全防护 26%科技25%金融服务24%电信、传媒和娱乐26%其他行业 增强容器和Kubernetes的安全性 25%100-499名员工24%500-999名员工52%超过1,000名员工 关于我们的受访者 开始使用红帽Kubernetes高级集群安全防护 重要发现 关于本报告 重要发现 再次强调，通过调查，我们深入了解了各个企业组织如何处理Kubernetes安全防护问题。重要发现如下： 发现1：安全问题影响业务成果 发现2：安全漏洞会对所有人造成影响 发现3：在生命周期的所有阶段都会发生安全事件 67%的企业组织由于Kubernetes安全问题而推迟或减缓了部署。 发现4：安全策略令人担忧 发现5：安全责任分散 46%的企业组织由于容器或Kubernetes安全事件而损失了收入或客户。 发现6：DevSecOps实践很普遍 发现7：Kubernetes带来新的安全挑战 42%的受访者认为容器和Kubernetes策略最令人担忧的方面是安全性。 发现8：企业组织致力于解决高风险问题 发现9：安全问题可能导致严重的后果 42%的受访者表示他们企业组织内的DevSecOps计划已处于高级阶段。 发现10：风险管理对于软件供应链来说至关重要 发现11：对软件供应链安全性的担忧真实存在 48%的企业组织的DevSecOps计划处于早期阶段，内部团队正在联合制定策略和工作流程。 发现12：有助于提升软件供应链安全性的工具 发现13：企业组织利用开源工具实现Kubernetes安全防护 33%的受访者认为他们现有的容器和Kubernetes安全解决方案导致开发速度减缓。 增强容器和Kubernetes的安全性 关于我们的受访者 开始使用红帽Kubernetes高级集群安全防护 30%的受访者认为他们的容器和Kubernetes环境中最令人担忧的问题是漏洞。 请继续阅读，了解有关这些发现的更多信息。 发现1： 执行摘要 安全问题持续影响业务成果 关于本报告 重要发现 发现1：安全问题影响业务成果 67%的公司由于安全问题不得不推迟或减缓应用部署。 发现2：安全漏洞会对所有人造成影响 在全球范围内，企业组织纷纷采用Kubernetes和基于微服务的架构等云原生技术，以改变其构建、运行和扩展应用的方式。部分企业组织开发的所有新软件均为微服务软件，但也有许多企业组织使用基于容器的技术重构现有应用。无论哪种情况，容器都可以缩短开发和发布周期，同时提高在混合环境中运行和管理应用的灵活性。然而，如果不能在整个应用生命周期（从开发到部署和维护）提高全方位的安全防护，这些宝贵的优势会大打折扣。事实上，我们的调查发现，67%的受访者由于安全问题而推迟或减缓了基于容器的应用的部署。 发现3：在生命周期的所有阶段都会发生安全事件 发现4：安全策略令人担忧 发现5：安全责任分散 发现6：DevSecOps实践很普遍 发现7：Kubernetes带来新的安全挑战 发现8：企业组织致力于解决高风险问题 发现9：安全问题可能导致严重的后果 发现10：风险管理对于软件供应链来说至关重要 发现11：对软件供应链安全性的担忧真实存在 发现12：有助于提升软件供应链安全性的工具 发现13：企业组织利用开源工具实现Kubernetes安全防护 增强容器和Kubernetes的安全性 关于我们的受访者 开始使用红帽Kubernetes高级集群安全防护 发现2： 执行摘要 安全漏洞会对所有人造成影响 关于本报告 重要发现 发现1：安全问题影响业务成果 安全事件的影响范围非常广，包括员工解雇和收入损失。 发现2：安全漏洞会对所有人造成影响 发现3：在生命周期的所有阶段都会发生安全事件 容器和Kubernetes安全问题造成的影响远不止是应用部署延迟。26%的受访者表示安全事件导致员工被解雇；30%的受访者表示他们的企业组织因安全事故而被罚款。这些情况会导致宝贵的人才、知识和经验流失，严重影响企业组织正常运维，并且罚款和负面报道会给企业带来巨大的财务负担。 发现4：安全策略令人担忧 发现5：安全责任分散 发现6：DevSecOps实践很普遍 发现7：Kubernetes带来新的安全挑战 46%的受访者还透露，他们的企业组织因安全事件而损失了收入或客户。如果出现安全漏洞，团队就需要修复这些问题，这会延迟项目或产品发布，从而导致业务增长速度减缓。随着客户对企业的数据保护能力失去信任，他们可能会选择与采用更加安全的实践的竞争对手合作。 发现8：企业组织致力于解决高风险问题 发现9：安全问题可能导致严重的后果 发现10：风险管理对于软件供应链来说至关重要 发现11：对软件供应链安全性的担忧真实存在 发现12：有助于提升软件供应链安全性的工具 发现13：企业组织利用开源工具实现Kubernetes安全防护 增强容器和Kubernetes的安全性 关于我们的受访者 开始使用红帽Kubernetes高级集群安全防护 发现3： 执行摘要 在生命周期的所有阶段都会发生安全事件 关于本报告 重要发现 发现1：安全问题影响业务成果 发现2：安全漏洞会对所有人造成影响 在过去的12个月中，近90%的企业组织内至少发生过1起容器或Kubernetes安全事件。 发现3：在生命周期的所有阶段都会发生安全事件 发现4：安全策略令人担忧 安全事件并不只是影响正在运行的应用。与容器和Kubernetes相关的安全事件可能会影响应用生命周期的所有阶段。45%的受访者表示，他们的企业组织在过去12个月内遇到过运行时事件；而几乎同样数量（44%）的受访者表示，他们在构建和部署阶段遇到了问题，并指出存在重大漏洞需要补救。与此同时，40%的受访者表示他们的企业组织在容器或Kubernetes环境中检测到配置错误；26%的受访者表示他们的企业组织未通过审计。 发现5：安全责任分散 发现6：DevSecOps实践很普遍 发现7：Kubernetes带来新的安全挑战 发现8：企业组织致力于解决高风险问题 发现9：安全问题可能导致严重的后果 容器和Kubernetes技术可通过跨职能功能和经过简化的运维流程提高生产力。虽然Kubernetes提供网络策略和基于角色的访问控制（RBAC）等机制来增强整个集群的安全性，但有些功能默认处于禁用状态或限制过于宽松，需要进行额外配置才能确保提供足够的保护。此外，虽然SELinux等安全控制可以显著提高应用的安全性，但要想定制这些功能和将它们集成到操作环境中，却并没那么容易。在应用生命周期的不同阶段，这些困难经常以安全事件、漏洞和错误配置的形式出现。我们的调查结果显示，许多企业组织仍在努力应对保护基于容器的Kubernetes环境的复杂性，89%的受访者表示他们的企业组织在过去12个月内发生过至少1起相关的安全事件。 发现10：风险管理对于软件供应链来说至关重要 发现11：对软件供应链安全性的担忧真实存在 发现12：有助于提升软件供应链安全性的工具 发现13：企业组织利用开源工具实现Kubernetes安全防护 增强容器和Kubernetes的安全性 关于我们的受访者 开始使用红帽Kubernetes高级集群安全防护 执行摘要 在过去的12个月内，您遇到过哪些与容器和/或Kubernetes相关的安全事件或问题？ 关于本报告 重要发现 发现1：安全问题影响业务成果 发现2：安全漏洞会对所有人造成影响 发现3：在生命周期的所有阶段都会发生安全事件 发现4：安全策略令人担忧 发现5：安全责任分散 发现6：DevSecOps实