容器和云中的配置错误：风险和修复

在DevOps中快速行动可能会造成安全漏洞，直到灾难来袭之前，这些漏洞可能被忽略。

急于转型的组织可以从短暂的停顿中获益，以避免可能造成意外的、未被注意到的曝光的错误配置。目前的趋势是企业与DevOps一起发展，以加快部署速度。这种仓促可能导致安全漏洞，否则可能会在途中被抓到。StackRox和Packet的专家分析了一些错误配置的信号以及组织如何解决这些问题的方法。

Kubernetes安全平台提供商StackRox营销副总裁Michelle McLean说，许多DevOps团队的思想和使命是快速推出代码，以使他们的组织更加敏捷。她说：“这并不意味着开发人员不关心安全性或故意疏忽大意。然而，这并不总是他们首先想到的事情。”

她说，在DevOps时代，这种顺序被颠覆了，周期的不同部分有时会重叠并造成盲点。McLean说：“所有这些现在都混合在一起，并在相似的时间框架内发生。当任务是快速行动时，快速发布代码，可能会遗漏一些内容。”

云计算提供商Packet公司联合创始人Jacob Smith说，配置错误的问题与DevOps的旅程紧密相关。他说，这源于如何通过DevOps自动化与IT管理来部署容器。“这是一个不同的工作流程，最大的弱点之一是网络策略。问题很容易遗漏，因为随着基础设施变得越来越多样化并迁移到云中，配置的规模也越来越大。”

Smith认为，来自RedHat、Rancher或VMware的支持工具集可以监视和改善可见性，因此开发人员知道哪些容器可以连接到什么容器。他说，容器的相对新颖和快速发展已成为企业的当务之急，这对开发人员来说是一个挑战。

Smith表示：“每个人都必须制定服务网格策略，尽管18个月前还不存在。安全是潜在后果的明显领域，但是由于配置错误而导致的业务效率低下也可能代价高昂。”

McLean强调的关键错误配置问题之一是，并非默认情况下总是打开所有安全控件。她说：“有了容器和Kubernetes，仍然可以学习到许多具有复杂基础设施的运动部件。假设开发人员将在某个时候启用安全控制。”

McLean建议寻找某些难以找到的元素，例如资源是否为只读或是否可以写入。检查是否启用了基于角色的访问控制。她说：“这类似于拥有可写的容器。如果有人获得了在Kubernetes级别进行更改的许可，将面临风险。如果可以进入Kube，就可以进入所有资产。”McLean说，随着越来越多的企业将他们开发的新应用程序容器化，这种类型的曝光的可能性很可能会增加。她说：“很可能这些是企业一些最重要的业务必备的应用程序。這些应用程序可能还会保留客户数据。这容易犯错误。组织应该帮助开发人员做正确的事。”