Zprávy

Inovace cloudu a zavádění Kubernetes zpomaluje

Dvakrát ročně ve své zprávě State of Kubernetes Security společnost StackRox zkoumá, jak společnosti zavádějí Kubernetes, kontejnery a cloudové technologie a jak se vyrovnávají s výzvami spojenými se zabezpečením těchto prostředí.

Společnost StackRox provedla průzkum mezi více než 500 odborníky na DevOps, inženýrství a bezpečnost. Šetření odhalila nová úskalí v oblasti kontejnerů, kterým vedoucí IT pracovníci čelí, a to, jak organizace přijímají iniciativy DevSecOps k ochraně svých cloudových prostředí.

Obavy přetrvávají – a zpomalují inovace

Navzdory rostoucímu tempu nasazování kontejnerů a technologie Kubernetes zůstává otázka bezpečnosti hlavním problémem. Není to překvapivé, protože 94 % respondentů uvedlo, že během posledních 12 měsíců došlo v jejich prostředí Kubernetes a kontejnerů k bezpečnostnímu incidentu. Více než polovina respondentů (55 %) pak musela kvůli zabezpečení odložit nasazení aplikací Kubernetes do produkce.

Nejčastěji uváděnou příčinou narušení dat a úspěšných hackerských útoků je lidská chyba – téměř 60 % respondentů uvedlo, že se v posledních 12 měsících setkali ve svých prostředích s incidentem způsobeným chybnou konfigurací. Téměř třetina objevila závažnou zranitelnost a další třetina uvedla, že k bezpečnostnímu incidentu došlo za provozu. Nejenže jsou chybné konfigurace nejčastější, ale respondenti průzkumu se jich také nejvíce obávají: 47 % respondentů uvedlo obavy z vystavení rizikům v důsledku chybné konfigurace v jejich kontejnerových a Kubernetes prostředích, což je téměř čtyřikrát více než obavy z útoků (13 %).

Správa konfigurace představuje pro odborníky na bezpečnost obtížnou výzvu. Zatímco pro skenování zranitelností obrazů kontejnerů je k dispozici řada nástrojů, správa konfigurace vyžaduje větší pozornost. Nejlepším způsobem, jak tento problém řešit, je co nejvíce automatizovat správu konfigurace, aby ochranné mantinely namísto lidí poskytovaly bezpečnostní nástroje, které vývojářům a týmům DevOps pomohou bezpečně konfigurovat kontejnery a Kubernetes.

Je potřeba začít dříve

Výsledky průzkumu také zdůrazňují důležitost spolupráce napříč vývojovými, provozními a bezpečnostními týmy při implementaci zabezpečení už v rané fázi životního cyklu vývoje, aby bylo možné dosáhnout největších přínosů Kubernetes – tedy rychlých inovací.

Mezi různými rolemi je DevOps jedinou rolí, která je nejčastěji uváděna jako zodpovědná za zabezpečení kontejnerů a Kubernetes. V souladu s potřebou začít řešit zabezpečení v dřívější fázi vývoje považuje 15 % respondentů vývojáře za hlavní vlastníky zabezpečení Kubernetes, přičemž pouze 18 % respondentů označilo za nejvíce odpovědné bezpečnostní týmy.

Toto rozložení ukazuje, že pokud jde o zabezpečení kontejnerů a Kubernetes, je potřeba zapojení všech. Tradičně byl ústředním kontrolním bodem pro prosazování zásad zabezpečení a shody s předpisy bezpečnostní tým. Zavádění kontejnerů a Kubernetes ale často řídí především DevOps, takže není překvapivé, že respondenti označují jako odpovědný za zabezpečení těchto technologií právě tento tým. K překlenutí těchto mezer musí bezpečnostní nástroje pro kontejnery a Kubernetes usnadňovat úzkou spolupráci mezi různými týmy – od vývojářů přes DevOps a Ops až po bezpečnostní tým – namísto toho, aby udržovaly oddělená sila, která mohou organizace sužovat.

Průzkum dále ukázal, že DevSecOps už není jen módní slovo. Tento termín, který zahrnuje procesy a nástroje umožňující začlenit bezpečnost do životního cyklu vývoje aplikací, a nikoliv jen jako dodatečnou myšlenku, se zavádí do praxe. Naprostá většina respondentů uvedla, že nějakou formu iniciativy DevSecOps již realizuje. Pouze 26 % respondentů nadále provozuje DevOps odděleně od bezpečnosti.

Investice do zabezpečení

Organizace sice s nadšením přijímají kontejnery a Kubernetes, pokud ale současně neinvestují do nezbytných bezpečnostních strategií a nástrojů, riskují bezpečnost svých kritických aplikací a možná budou muset odložit jejich nasazení. Nedostatečné investice do zabezpečení jsou u dotazovaných společností nejčastěji zmiňovanou obavou týkající se strategie pro kontejnery.

Dobrou zprávou je, že podíl respondentů, kteří mají alespoň základní bezpečnostní strategii pro Kubernetes, činí 67 %. Ještě pozoruhodnější je ale množství respondentů – pouze o 7 %, kteří bezpečnostní strategii zcela postrádají. I když jsou tyto údaje slibné, ukazují, že ačkoli bezpečnostní strategie dozrávají, organizace musí do svých plánů dále investovat, aby mohly adekvátně řešit potřeby zabezpečení kontejnerů a dodržování předpisů.

Díky integraci zabezpečení Kubernetes mohou organizace využít bohatá deklarativní data a nativní ovládací prvky v Kubernetes pro získání klíčových bezpečnostních výhod. Analýza deklarativních dat dostupných v systému Kubernetes může přinést lepší zabezpečení, a to díky poznatkům o správě konfigurace, dodržování předpisů, segmentaci a zranitelnostech specifických pro Kubernetes. A nejen to. Používání stejné infrastruktury a jejích ovládacích prvků pro vývoj aplikací i zabezpečení pomáhá zrychlit křivku učení a umožňuje rychlejší analýzu a řešení problémů.