尽管在过去一年中取得了长足的进步,但 Kubernetes 的安全性尚未成熟。但从 2021 年对保护 Kubernetes(现在占主导地位的容器编排平台)技术的投资水平来看,企业可以期待来年在该领域取得重大进展。
Kubernetes 最初由谷歌于 2014 年作为开源项目推出,现在归于云原生计算基金会的领域,Kubernetes 自动化了许多涉及容器化应用程序管理和部署的流程。开发人员越来越倾向于该平台,它有助于支持使用微服务架构的现代应用程序开发方法。
关键问题
尽管如此,当谈到保护 Kubernetes 时,一系列新的挑战出现了。IDC 负责安全和信任的项目副总裁 Frank Dickson 表示,对于 Kubernetes,“将代码开发和应用程序开发与底层架构分开真的很困难。”
换句话说,保护 Kubernetes 的最佳方法是在检测到漏洞时返回并修复基本代码。Dickson 说,这就是为什么“左移”概念(或将安全性移至应用程序开发过程的开始)已成为应用程序安全领域主题的重要原因。
他告诉“左移”这一事实表明现在可以在 Kubernetes 安全方面取得重大进展。让公司了解保护容器化应用程序将涉及在应用程序开发生命周期早期引入安全性是关键的一步。
“我们还不知道问题的所有答案,”迪克森说。“但我们终于开始理解这些问题了。”
越来越多的使用
云原生计算基金会的一项调查发现,83% 的受访者在 2020 年在生产中使用 Kubernetes,高于前一年的 78% 和 2018 年的 58%。但这使得该平台成为网络攻击者的诱人目标:一项调查红帽在 6 月份发现,94%的受访者在过去 12 个月内都遭遇过 Kubernetes 安全事件。
“当我们在 Windows 机器或 Linux 机器上运行所有东西时,我们可以进入机器并做我们需要做的任何事情。容器不是这样工作的,”SPR 云运营高级顾问 George Burns 说。“如果我们不给他们安全指示,他们就没有任何指示。Kubernetes 本身就是一个了不起的工具。但它处理某些安全性的方式并不是最好的。”
因此,在许多方面,围绕 Kubernetes 安全性的创新引擎现在才刚刚起步。
伯恩斯说,虽然保护传统应用程序遵循“非常成熟的流程,但保护容器却没有”。“我们将在接下来的几个周期中看到的很多创新都将与容器安全有关。”
扩大
在 Aqua Security 是一家自 2015 年推出以来一直专注于容器安全的供应商,在过去的一年中,Kubernetes 安全的采用率有所增加,并且“正在部署到 Kubernetes 中的项目规模发生了变化,”首席执行官表示大卫杜夫博士。
该公司是 Kubernetes 安全领域中众多在 2021 年筹集了大量资金的公司之一,其 1.35 亿美元的 E 轮融资在 3 月份估值为 10 亿美元。
其他包括 Snyk,它在 9 月份以 85 亿美元的估值筹集了 5.3 亿美元的 F 轮融资;Wiz,它在 10 月份以 60 亿美元的估值筹集了 2.5 亿美元的 C 轮融资;Orca Security,该公司在 10 月份以 18 亿美元的估值将其 C 轮融资扩大至 5.5 亿美元;Lacework 于 11 月以 83 亿美元的估值筹集了 13 亿美元;和 Sysdig,后者在去年 12 月以 25 亿美元的估值筹集了 3.5 亿美元的 G 轮融资。
创新推动
在 Kubernetes 安全领域工作的早期公司包括 Armo,其开源工具 Kubescape 的下载量已超过 20,000 次。该工具使开发人员能够立即扫描 Kubernetes 环境中的错误配置和漏洞。今年 1 月,Armo 获得了 450 万美元的种子资金。
Dickson 说,在 Kubernetes 安全方面,“我们有许多公司将带来新的创新技术”。“所以我们不仅仅是在做我们曾经做过的事情。我们现在开始使用一些非常优雅的新方法。”
他说,Orca Security 和 Wiz 等公司正在利用云中的块存储来拍摄 Kubernetes 集群的快照,然后对其进行分析,而无需代理。他说,其他例子包括名为 eBPF 的 Linux 技术,它使 Linux 内核更具可编程性,增强了 Kubernetes 环境的安全性。
“我们开始看到大量新技术被应用于保护 Kubernetes,”Dickson 说。
与此同时,包括 Check Point、Palo Alto Networks 和 Qualys 在内的公开交易的安全公司告诉,他们在 2021 年增加了 Kubernetes 安全功能。例如,6 月,Check Point 宣布扩大其 CloudGuard 工作负载包含容器安全性的保护平台,其功能包括“左移”工具,可在部署之前保护容器和无服务器功能。
一个大机会
Qualys 首席执行官 Sumedh Thakar 表示,尽管保护 Kubernetes 面临新挑战,但由于其“基于代码”的方法,容器确实具有潜在的安全优势。Thakar 说,这为公司提供了“通过基础设施即代码 (IaC) 扫描等技术比在传统环境中更好地保护安全的机会”。
“这确实是云和容器令人兴奋的部分——我们有机会在‘左移’环境中越来越早地降低风险,”他说。
迪克森说,Kubernetes 安全的底线是“我们不一定成熟。你可以说我们正处于青春期。”
“随着这些新技术进入我们的 Kubernetes 安全解决方案,我们必须弄清楚它们是什么,然后我们必须将它们集成到我们的应用程序开发过程中,”他说。“因此,我们需要一些时间来弄清楚我们如何将所有这些集成到一个不会减慢应用程序开发速度的工作流中。”