生产环境中 87% 的容器镜像存在严重或高危漏洞（生产环境中的危险和有害因素包括）

在首届 CloudNativeSecurityCon 上，DevSecOps 从业者讨论了如何支撑软件供应链。

在最近于西雅图举行的CloudNativeSecurityCon上，800 名 DevSecOps 从业者齐聚一堂，共同解决无数软件供应链安全问题，包括容器镜像的安全性和零信任对软件供应链的影响。

云原生计算基金会执行董事 Priyanka Sharma 在开幕主题演讲中表示，截至 2022 年，共有710 万云原生开发者，比 12 个月前的 470 万增长了 51%。“每个人都在成为云原生开发者。”Sharma 说。

然而，Sharma 警告说，这种向云原生开发的快速转变可能会引起关注，因为快速发布周期可能会导致组织不遵循安全生命周期开发 (SDLC) 实践。Snyk 的《2022 年云安全状况报告》发现，77% 的组织承认他们的培训不足，并且开发人员和安全团队之间缺乏有效协作。

“孤立的团队经常在不同的国家、时区工作，使用不同的工具和政策框架。”Sharma 说。“在云原生环境中，我们正在与许多其他实体进行交互。缺乏安全策略，这就是安全漏洞的秘诀。”

由于配置错误，安全策略的缺乏助长了漏洞的增加。根据“ Sysdig 2023 Cloud-Native Security and Usage Report ”，在生产环境中运行的容器镜像中有 87% 存在严重或高危漏洞，高于一年前的 75%，这一比例令人震惊，只有 15% 的严重和高严重性漏洞会在补丁发布后修复。

Sysdig 的调查结果基于从其数千个客户的云帐户中收集的遥测数据，总计数十亿个容器。容器中高比例的严重或高严重性漏洞是组织急于部署现代云应用程序的结果。这一推动导致大量软件开发人员转向更敏捷的持续集成持续开发 (CI/CD) 编程模型。

Sysdig 的报告建议过滤以仅隔离使用中的关键和高度易受攻击的包，以便专注于那些存在最大风险的包。此外，只有 2% 的漏洞是可利用的。

Sysdig 威胁研究员 Crystal Morin 告诉 Dark Reading：“通过查看正在使用的暴露的内容、运行时实际使用的内容以及可用的修复程序将帮助团队确定优先级。”

零信任实施的 5 个要素

Sharma 指出去年 IBM 和 Ponemon Institute 发布的“数据泄露成本报告”表明，79% 的组织尚未转向零信任环境。

“几乎 20% 的安全事件是由于业务合作伙伴被入侵后发生的。”Sharma 说。“请记住，几乎一半的安全事件都是基于云的。”

建立零信任的一个主要障碍是权限不受控制的环境。根据 Sysdig 报告，授予的权限中有 90% 未使用，这为窃取凭据创造了一条捷径。根据该报告，“团队需要强制执行最低权限访问，这需要了解实际使用了哪些权限。”

Tetrate 的创始工程师和谷歌服务网格项目 Istio 的早期工程师 Zack Butcher 告诉与会者，创建零信任环境并不那么复杂。

Butcher 确定了构成零信任系统的五项检查：

Butcher 指出，虽然这些检查并不新鲜，但目前正在努力与美国国家标准与技术研究院 (NIST) 一起创建基于身份的分段标准。

“如果你看看 API 网关和入口网关之类的东西，我们通常会进行这些检查。”他说。“但我们需要这样做，不仅是在前端，而且是我们基础设施中的每一跳。每次任何东西在通信时，都需要至少应用这五项检查。”

NIST 标准即将出台

在分组会议期间，Butcher 和 NIST 计算机科学家 Ramaswamy 解释了五个控件以及它们如何适应零信任架构。Butcher 说，服务网格等工具可以帮助实现其中的许多控制。

该演示文稿是将作为 NIST SP 800-207A 提案的大纲：“用于多位置环境中云原生应用程序访问控制的零信任架构 (ZTA) 模型。” “我们希望在 6 月的某个时候将其进行初步公开审查。”Butcher 说。

Butcher 表示，供应链安全是零信任架构的重要组成部分。

“如果我们无法清点和证明我们的基础设施中正在运行的内容，我们就会为攻击者留下漏洞。”他说。“作为一种哲学，零信任就是减轻攻击者在网络中可以做的事情。目标是限制他们在空间和时间上的攻击，控制在该基础设施中执行的应用程序是限制空间的关键因素。”

参考链接：https://www.darkreading.com/dr-tech/87-of-container-images-in-production-have-critical-or-high-severity-vulnerabilities