所有安全从业者都预计所有软件都会存在漏洞,而现代容器生态系统通过更精简的服务和容器镜像更新消除了传统修补的痛苦。然而,当问题出在基础堆栈本身时,它会带来更令人担忧的风险和令人担忧的漏洞。短期修复和重新配置可能不那么容易部署,或者可能只能降低严重程度而不是全面缓解,从监管审计或可接受的内部风险态势来看,这不是理想的解决方案。
例如,最近报告的某些发行版中 Kubernetes 容器网 投资者数据 络漏洞凸显了漏洞利用风险,使受影响的网络组件面临“中间人”攻击。建议的解决方法并不能阻止所有攻击媒介,因此在基础设施的最基本层面上留下了一个风险窗口,而这些风险很可能推动着企业收入最高的应用程序的发展,而这种风险不太可能被阻止。感兴趣的读者可以在此处查看 Kubernetes 项目 - 问题中的详细信息91507毫无疑问,这个问题会随着时间推移得到解决,但它表明自我修复和故障保护并不一定意味着安全,新世界仍然存在旧的风险问题。
云的复杂性
在与首席数据官和 CISO 的交谈中,云的另一个大问题是复杂性,这一点现在已得到广泛认可,尤其是在容器领域,随着尝试管理这种风险的全新工具的出现。我们最近看到了由配置问题导致的违规行为。我数不清有多少次读到由于 Amazon S3 等相对简单的云系统配置错误而导致数百万条记录被泄露的报道。这种类型的违规行为在2020 年 Verizon 数据泄露报告。