容器和云中的配置错误导致的风险和修复方案

（文章来源：机房360）

在DevOps中快速行动可能会造成安全漏洞，直到灾难来袭之前，这些漏洞才可能被忽略。

急于转型的组织可以从短暂的停顿中获益，以避免可能造成意外的、未被注意到的曝光的错误配置。目前的趋势是企业与DevOps一起发展，以加快部署速度。这种仓促可能导致安全漏洞，否则可能会在途中被抓到。StackRox和Packet的专家分析了一些错误配置的信号，以及组织如何解决这些问题。

Kubernetes安全平台提供商StackRox的营销副总裁Michelle McLean说，许多DevOps团队的思想和使命是快速推出代码，以使他们的组织更加敏捷。她说，“这并不意味着开发人员不关心安全性或故意疏忽大意。然而，这并不总是他们首先想到的事情。”

McLean是StackRox最新的《容器和Kubernetes安全性状况报告》的作者。她说，安全性已经在基础设施中以多种方式变得更加固有，这为开发周期带来了新的方法。McLean说，“以前在构建代码之后就开始运营，而现在需要弄清楚如何确保它的安全。”

她说，在DevOps时代，这种顺序被颠覆了，周期的不同部分有时会重叠并造成盲点。McLean说：“所有这些现在都混合在一起，并在相似的时间框架内发生。”当任务是快速行动时，快速发布代码，可能会遗漏一些内容。”

云计算提供商Packet公司联合创始人Jacob Smith说，配置错误的问题与DevOps的旅程紧密相关。他说，这源于如何通过DevOps自动化与IT管理来部署容器。Smith说：“这是一个不同的工作流程，最大的弱点之一是网络策略。问题很容易遗漏，因为随着基础设施变得越来越多样化并迁移到云中，配置的规模也越来越大。”

Smith说，来自RedHat、Rancher或VMware的支持工具集可以监视和改善可见性，因此开发人员可以知道哪些容器可以连接到什么容器。他说，容器的相对新颖和快速发展已成为企业的当务之急，这对开发人员来说是一个挑战。Smith说：“发生的事情太多了，而且变化很快。那是造成混乱的原因;很多刚接触它的人都会感觉到紧张。DevOps领域的这一部分在过去两年中迅速成熟，似乎在一夜之间出现了新的需求。”

Smith说：“每个人都必须制定服务网格策略，尽管18个月前还不存在。安全是潜在后果的明显领域，但是由于配置错误而导致的业务效率低下也可能代价高昂。例如，可能有一个容器可能无法控制服务器的情况下，资源分配失控。那是不应该做的一件事。”

McLean强调的关键错误配置问题之一是，并非默认情况下总是打开所有安全控件。她说，“有了容器和Kubernetes，仍然可以学习到许多具有复杂基础设施的运动部件。假设开发人员将在某个时候启用安全控制。”唯一提供独家研究结果，动手研讨会，案例研究，20个小时以上的联网以及最大的以数据中心为中心的展览厅的行业盛会。

McLean建议寻找某些难以找到的元素，例如资源是否为只读或是否可以写入。检查是否启用了基于角色的访问控制。她说：“这类似于拥有可写的容器。如果有人获得了在Kubernetes级别进行更改的许可，将面临风险。如果可以进入Kube，就可以进入所有资产。”

McLean说，随着越来越多的企业将他们开发的新应用程序容器化，这种类型的曝光的可能性很可能会增加。她说：“很可能这些是企业一些最重要的业务必备应用程序。这些应用程序可能还会保留客户数据。这容易犯错误。组织应该帮助开发人员做正确的事。”
（责任编辑：fqj）