2022,Kubernetes安全元年
尽管在过去一年中取得了长足的进步,但Kubernetes的安全性显然尚未成熟。不过从2021年业界对Kubernetes(现在占主导地位的容器编排平台)安全技术的投资水平来看,2022年Kubernetes的安全性将取得重大进展。
Kubernetes最初由Google于2014年作为开源项目推出,现在归云原生计算基金会管辖,Kubernetes自动化了许多涉及容器化应用程序管理和部署的流程。开发人员越来越倾向于该平台,因为它有助于支持使用微服务架构的现代应用程序开发方法。
关键问题
尽管如此,在Kubernetes的安全防护方面,一系列新的挑战出现了。IDC负责安全和信任的项目副总裁Frank Dickson表示,对于Kubernetes,“将代码开发和应用程序开发与底层架构分开真的很困难。”
换句话说,保护Kubernetes的最佳方法是在检测到漏洞时返回并修复基本代码。Dickson说,这就是为什么“左移”概念(或将安全性移至应用程序开发过程的开始)已成为应用程序安全领域主旋律的重要原因。
他指出:“安全左移”的大势所趋意味着Kubernetes的安全性即将取得重大进展。而让公司了解保护容器化应用程序的前提是在应用程序开发生命周期早期引入安全性是关键的一步。
“我们还不知道问题的所有答案,”Dickson说:“但我们终于开始理解这些问题了。”
主流风险
云原生计算基金会的一项调查发现,83%的受访者2020年在生产中使用Kubernetes,高于前一年的78%和2018年的58%。但这使得该平台成为网络攻击者的诱人目标:红帽在6月份的一项调查发现,94%的受访者在过去12个月内遭遇了Kubernetes安全事件。
“当我们在Windows机器或Linux机器上运行任务时,我们可以进入机器并做我们需要做的任何事情。”SPR云运营高级顾问George Burns说,“但容器不是这样工作的,如果我们不给他们安全指示,他们就没有任何指示。Kubernetes是一个了不起的工具,但它处理某些安全性的方式并不是最好的。”
因此,从许多方面来看,围绕Kubernetes安全的创新引擎现在才刚刚启动。
Burns说,虽然保护传统应用程序遵循“非常成熟的流程,但容器却没有”。“我们将在接下来的几个周期中看到的很多创新都将与容器安全有关。”
资本助推
Aqua Security是一家自2015年成立以来一直专注于容器安全的供应商,该公司注意到在过去的一年中,Kubernetes安全的采用率有所增加,并且“正在部署到Kubernetes中的项目规模发生了变化,”Aqua Security首席执行官大卫杜夫博士表示。
该公司是Kubernetes安全领域中众多在2021年筹集了大量资金的公司之一,其在3月份完成的1.35亿美元的E轮融资中估值为10亿美元。
该领域的其他主要创业公司还包括Snyk,它在9月份以85亿美元的估值筹集了5.3亿美元的F轮融资;Wiz,它在10月份以60亿美元的估值筹集了2.5亿美元的C轮融资;Orca Security,在10月份以18亿美元的估值将其C轮融资扩大至5.5亿美元;Lacework于11月以83亿美元的估值筹集了13亿美元;Sysdig,后者在去年12月以25亿美元的估值筹集了3.5亿美元的G轮融资。
创新驱动
在Kubernetes安全领域工作的早期公司包括Armo,其开源工具Kubescape的下载量已超过20,000次。该工具使开发人员能够立即扫描Kubernetes环境中的错误配置和漏洞。今年1月,Armo获得了450万美元的种子资金。
Dickson认为,在Kubernetes安全方面,“有许多新公司将带来创新技术”。Orca Security和Wiz等公司正在利用云中的块存储来拍摄Kubernetes集群的快照,然后对其进行分析,而无需代理。其他例子包括名为eBPF的Linux技术,它使Linux内核更具可编程性,增强了Kubernetes环境的安全性。
与此同时,包括Check Point、Palo Alto Networks和Qualys在内的上市安全公司也纷纷在2021年增加了Kubernetes安全功能。例如6月,Check Point宣布CloudGuard平台增加了容器安全保护功能,包括“左移”工具,可在部署之前保护容器和无服务器功能。
未来可期
Qualys首席执行官Sumedh Thakar表示,尽管保护Kubernetes面临新挑战,但由于其“基于代码”的方法,容器确实具有潜在的安全优势。Thakar说,这为公司提供了通过基础设施即代码(IaC)扫描等技术“比在传统环境中更好地保护容器安全”。
“这确实是云和容器令人兴奋的部分——我们有机会在‘左移’环境中越来越早地降低风险,”他说。
Dickson指出:“随着新技术不断进入Kubernetes安全解决方案,我们必须弄清楚它们是什么,然后我们必须将它们集成到我们的应用程序开发过程中。我们需要一些时间来弄清楚如何将所有这些集成到工作流中同时又不减慢应用程序开发速度。”
