Le rapport d’utilisation de Sysdig révèle que le décalage à gauche, de la sécurité des conteneurs ne constitue pas une approche suffisante

  • 74 % des clients décalent à gauche en numérisant des images pendant la phase de construction
  • 58 % des conteneurs sont exécutés en tant que root, ce qui augmente les risques de sécurité d’exécution

SAN FRANCISCO--()--Sysdig, Inc., chef de file du DevOps sécurisé, a annoncé aujourd’hui les conclusions du Rapport relatif à la sécurité et à l’utilisation des conteneurs 2021 de Sysdig. Tandis que l’utilisation révèle que les organisations décalent à gauche en numérisant des images pendant la phase de construction, les équipes DevOps laissent encore la porte ouverte aux attaques contre leurs environnements. Le rapport étudie également les tendances, et souligne une augmentation de 310 % de la densité des conteneurs depuis 2017.

Le quatrième rapport annuel révèle comment les clients mondiaux de Sysdig, toutes tailles et tous secteurs confondus, utilisent et sécurisent les environnements de conteneurs. Ces données en temps réel et issues du monde réel fournissent des renseignements sur l’utilisation de près d’un milliard de conteneurs exécutés chaque année par les clients de Sysdig, notamment sur les risques en matière de sécurité, l’utilisation des conteneurs, et les services utilisés. Consultez le blog relatif à la sécurité et à l’utilisation des conteneurs 2021 de Sysdig.

Parmi ses conclusions, le rapport indique que bien que 74 % des clients procèdent à une numérisation avant le déploiement, plus de la moitié (58 %) des conteneurs demeurent exécutés en tant que root. Bien que certains conteneurs doivent être exécutés en tant que root, par exemple, les démons de sécurité et les démons de système, il ne s’agit que d’une petite partie de la totalité des conteneurs. Ces configurations risquées offrent un accès facile pour potentiellement compromettre le système et accéder aux données sensibles. Ces conclusions soulignent la nécessité de renforcer la sécurité tout au long du cycle de vie de l’image de conteneur ; la simple réparation des vulnérabilités n’est pas suffisante.

Principales conclusions du rapport

Augmentation de 170 % de la densité des conteneurs depuis 2018

Ces trois dernières années, le nombre moyen de conteneurs par hôte a plus que doublé, passant de 15 en 2018 à 41 aujourd’hui, ce qui indique une augmentation de l’efficience et un virage vers des économies de coûts au fur et à mesure de la maturation des conteneurs. Ceci illustre l’accent continu porté sur l’optimisation.

Prometheus continue de croître, enregistrant une croissance de 35 % en glissement annuel

L’adoption de l’open source est plus large que celle de Kubernetes, à l’heure où les organisations se tournent vers Prometheus en tant qu’approche de référence pour contrôler leurs environnements de conteneurs. L’utilisation des indicateurs de Prometheus, parmi les clients de Sysdig a enregistré une hausse de 35 % en glissement annuel.

Baisse de l’utilisation de Docker, et multiplication par quatre de l’utilisation de containerd et CRI-O

En 2017, Docker représentait 99 % des conteneurs en utilisation. Aujourd’hui, ce pourcentage a chuté à 50 %, après avoir déjà reculé à 79 % en octobre 2019. Bien que Docker ait révolutionné les conteneurs, les organisations se tournent rapidement vers de nouvelles exécutions telles que containerd et CRI-O.

21 % des conteneurs ont une durée de vie inférieure à 10 secondes

Bien que la nature éphémère des conteneurs constitue un avantage unique en termes d’efficience, elle peut devenir un défi dans le cadre de la gestion des problématiques en matière de sécurité, de santé et de performance. La courte durée de vie des conteneurs réaffirme la nécessité de recourir à des outils de contrôle et de sécurité spécifiques aux conteneurs. Par exemple, les organisations ont besoin de collecter des indicateurs dans des intervalles inférieurs à 10 secondes, ainsi qu’un registre détaillé des événements survenus lorsque le conteneur était actif.

« En raison des violations majeures que nous constatons, et de l’adoption accélérée des conteneurs en production, le risque de sécurité des conteneurs figure désormais sur les radars des directeurs de la sécurité informatique. Parmi les millions de conteneurs que nous avons étudiés, bien qu’il apparaisse clair que les organisations décalent à gauche, elles négligent les bonnes pratiques essentielles », a déclaré Suresh Vasudevan, président-directeur général de Sysdig. « La sécurité des conteneurs doit couvrir l’ensemble du cycle de vie de développement des logiciels. Tant que les organisations ne répareront pas les configurations risquées, ne protégeront pas leurs environnements d’exécution, et n’investiront pas dans l’analyse des conteneurs, nous constaterons une augmentation du nombre de violations de sécurité des conteneurs. Je pense que plusieurs violations à fort impact seront commises avant la publication de notre prochain rapport. »

Autres conclusions intéressantes

  • Falco, projet d’exécution open source destiné aux environnements cloud natifs, créé par Sysdig et fourni à la CNCF, a enregistré l’an dernier une augmentation de 300 % du nombre de téléchargements Docker Hub.
  • L’utilisation de golang a augmenté de 66 %, ce qui représente une hausse de 470 % par rapport à l’an dernier.
  • 63 % des images de conteneurs sont remplacées en deux semaines ou moins, ce qui indique un taux de déploiement de codes plus fréquent.

En savoir plus sur ce rapport

À propos de Sysdig

Sysdig encourage le mouvement DevOps sécurisé, en permettant aux organisations de sécuriser en toute confidentialité conteneurs, Kubernetes et services cloud. Grâce à la Sysdig Secure DevOps Platform, les équipes cloud sécurisent le pipeline de construction, détectent et répondent aux menaces d’exécution, valident en permanence la conformité, contrôlent et dépannent les infrastructures et services cloud. Sysdig est une plateforme SaaS conçue sur une infrastructure open source, incluant Falco et sysdig OSS, les références ouvertes pour la détection et la réponse aux menaces liées à l’exécution. Plusieurs centaines d’entreprises utilisent Sysdig pour assurer la sécurité et la visibilité des conteneurs et de Kubernetes. Pour en savoir plus, consultez le site www.sysdig.com.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.

Contacts

Amanda McKinney Smith
(703) 473-4051
amanda.smith@sysdig.com

Contacts

Amanda McKinney Smith
(703) 473-4051
amanda.smith@sysdig.com