云原生安全微调查：超过 80% 的组织希望用开源软件构建现代安全系统

在 CNCF安全技术咨询小组（TAG）[1]的帮助下，CNCF 最近对社区进行了一次微调查，以了解组织是如何管理云原生安全的。

总体而言，该报告[2]显示，各组织认识到云原生架构中传统安全与现代安全之间的差异，并看到了现代云原生安全的价值。多达 85%的受访者表示，现代化的安全性对他们组织的云原生部署非常重要。没有人表示不重要。

然而，只有 9%的组织拥有一套完整的文档化的过程，这些过程是为他们的团队自动实现的。因此，虽然组织认识到这些策略的重要性，但是作为一个社区，仍然有很长的路要走，以增加采用和开发工具来减轻实现的负担。

更糟糕的是，12%的组织说他们保护第三方软件的过程和政策是不存在的。许多组织都让自己处于弱势。在这些情况下，员工可能会过度工作，精疲力尽，处理火灾，并在另一个事件发生前赶工。他们不太可能主动提高安全性或在该领域进行创新。

这项微调查收到了超过 125 份回复。

在这里[3]查看微调查的全部结果。该报告包含了更多关于组织最大的担忧、挑战和失误的细节，以及云原生安全的边缘状态。

在发布云原生安全白皮书[4]之后，Security TAG 最近还完成了自己的回顾性调查。

这项回顾性调查收到了 70 多个回应，发现：

• 由于最近对供应链安全的关注，参与者认为漏洞管理和秘密管理是云原生安全的两大关注点。

• 47%的参与者不愿意披露与安全相关的事件。对于那些愿意的来说，最严重的两起事件是漏洞被利用或加密货币矿工。有趣的是，只有 4%的参与者指出他们目睹了勒索软件攻击。

• 85%的参与者要求社区关注安全默认设置，60%的参与者要求更多关注自动化工具和参考指南。

• 尽管参与者对工作社区和 CNCF 正在做的工作感到满意，但参与者指出，Kubernetes 的默认值“太开放”，需要努力和成熟才能确保生产的安全。回应建议云原生安全社区应该从 4 个方面解决这个问题：

  • 致力于提供生产就绪的配方，如网络策略和 OPA Gatekeeper 约束模板。

  • 推动更多保守的默认设置，如禁用自动挂载服务帐户令牌和启用审计日志。

  • 介绍关于如何增加可观察性和使用 OPA Gatekeeper 的友好文档。

  • 新的开源工具可以轻松识别镜像漏洞（在运行时和注册中心）。

根据调查的反馈和社区驱动的讨论，Security TAG 正在进行几项关键工作。

Cloud Native 8[5]是第一次尝试为社区提供关于安全默认值的明确指导。关于这个话题，目前有一个公开评论[6]，将于 10 月 31 日结束。

该小组还致力于一个供应链安全参考架构[7]，旨在向组织展示如何将云原生项目堆叠起来，以解决一个日益增长的问题：供应链安全。它还推出了第一个版本的云原生安全地图（CNSMap）[8]，并开始开发 2.0 版。CNSMap 的目标是提供关于如何保护组织的云原生生态系统的更多可操作的信息。

你可以在这里[9]阅读更多关于回顾性调查结果的信息。

参考资料

[1]安全技术咨询小组（TAG）: https://github.com/cncf/tag-security

[2]报告: https://www.cncf.io/wp-content/uploads/2021/10/Cloud-Native-Security-Microsurvey-rev.pdf

[3]微调查的全部结果: https://www.cncf.io/wp-content/uploads/2021/10/Cloud-Native-Security-Microsurvey-rev.pdf

[4]云原生安全白皮书: https://github.com/cncf/sig-security/blob/master/security-whitepaper/CNCF_cloud-native-security-whitepaper-Nov2020.pdf

[5]Cloud Native 8: https://lnkd.in/gkFKsZkb

[6]公开评论: https://lists.cncf.io/g/cncf-tag-security/message/71

[7]参考架构: https://github.com/cncf/tag-security/issues/679

[8]云原生安全地图（CNSMap）: https://cnsmap.github.io/

[9]回顾性调查结果: https://github.com/cncf/surveys/blob/master/security/README.md