Stav bezpečnosti Kubernetes v roce 2023

24. 4. 2023. (redaktor: František Doupal, zdroj: Red Hat)
V posledních několika letech se míra nasazování technologie Kubernetes prudce zvýšila a tato platforma pro orchestraci kontejnerů se stala základním kamenem mnoha projektů digitální transformace.
Ajmal Kohgadai, senior principal produktový manažer pro oblast bezpečnosti, Red Hat

I když se organizace s používáním této technologie v produkčním prostředí již vyrovnaly, stále přetrvávají obavy ohledně nejlepších způsobů zabezpečení kontejnerizovaných úloh.

Studie společnosti Red Hat s názvem „Stav bezpečnosti Kubernetes v roce 2023“ se zabývá konkrétními bezpečnostními riziky, kterým organizace čelí v souvislosti s nativně cloudovým vývojem, včetně rizik pro jejich dodavatelský řetězec softwaru, a způsoby, jak tato rizika zmírňují, aby ochránily své aplikace a prostředí IT.

Studie vychází z průzkumu mezi 600 odborníky na DevOps, inženýring a bezpečnost z celého světa a odhaluje některé z nejčastějších bezpečnostních problémů, se kterými se organizace potýkají na cestě k nativně cloudovému vývoji, a jejich dopad na podnikání. Studie také poskytuje osvědčené postupy a pokyny pro týmy zabývající se vývojem aplikací a zabezpečením, které mohou pomoci snížit jejich bezpečnostní rizika.

Mezinejvýznamnější zjištění v letošním rocepatří:

  • 38 % respondentů uvádí, že investice do zabezpečení kontejnerových operací jsou nedostatečné, což je o sedm procentních bodů více než v roce 2022.
  • 67 % respondentů muselo zpomalit zavádění nativně cloudového vývoje z důvodu obav o bezpečnost.
  • Více než polovina respondentů se v posledních 12 měsících setkala s problémem s dodavatelským řetězcem softwaru souvisejícím s nativně cloudovým a kontejnerizovaným vývojem.

Investice neodpovídají míře nasazení

V posledních několika letech se neustále setkáváme s tím, že jedním z největších problémů při zavádění kontejnerů zůstává bezpečnost. Letošní průzkum se nelišil, neboť 38 % respondentů uvedlo, že se bezpečnost nebere dostatečně vážně nebo že jsou investice do bezpečnosti nedostatečné, což je o sedm procentních bodů více než loni. Zajímavé je, že míra nasazení stále roste, ale ne vždy je tento růst doprovázen stejným růstem investic do zabezpečení.

Nativně cloudová řešení vyžadují i nativně cloudová bezpečnostní opatření, která často mohou (a měla by) zahrnovat DevSecOps přístup. Týmy IT se musí zaměřit na výběr a implementaci bezpečnostních nástrojů, které poskytují zpětnou vazbu a ochranné mantinely v CI/CD (Continuous Integration, kontinuální integrace / Continuous Deployment, kontinuální nasazení) v aplikační i infrastrukturní vývojové praxi. Organizace musí tento přechod u svých transformačních iniciativ plánovat a nespoléhat se pouze na stávající řešení, která často vyžadují značné úpravy nebo přizpůsobení, aby vyhovovala požadavkům nativně cloudového computingu.

Jedním z nejlepších způsobů, jak překonat rozpor mezi investicemi a mírou nasazení, je investovat do nativně cloudových nástrojů s integrovaným zabezpečením, spíše než do doplňků. Díky zabezpečení integrovanému do řešení – od operačního systému až po aplikační úroveň – nemusí organizace hledat další peníze v rozpočtu na bezpečnostní řešení, která odpovídají jejich nejnovějším technologiím.

Obavy o bezpečnost brání lepším obchodním výsledkům

Jedním z hlavních důvodů pro zavedení nativně cloudových technologií je agilita, kterou poskytují. Rychlejší uvádění produktů a služeb na trh, přizpůsobivost a spolehlivost – to vše jsou výhody nativně cloudových technologií a klíčové faktory, které podniky vedou k digitální transformaci jejich IT infrastruktury. Tyto výhody se však vždy neprojeví – průzkum zjistil, že 67 % respondentů muselo z důvodu obav o bezpečnost odložit nebo zpomalit nasazení aplikací. To není příliš překvapivé, když uvážíme, že nové technologie často přinášejí nepředvídané bezpečnostní problémy. Ale na bezpečnost by se mělo pohlížet jako na součást úspěšného nasazení technologie, nikoli jako na překážku nebo újmu při nativně cloudovém vývoji.

Drobná zpoždění jsou však často tím nejmenším, co organizace v případě bezpečnostních incidentů při nativně cloudovém vývoji trápí, protože podle průzkumu mohou být dopady na podnikání ještě závažnější. Hned 21 % respondentů uvedlo, že bezpečnostní incident vedl k propuštění zaměstnance, a 25 % uvedlo, že organizace byla pokutována. Kromě zřejmého dopadu na spolupracovníky by to mohlo vést ke ztrátě cenných talentů, znalostí a zkušeností v celé organizaci IT. Pro podniky, které čelí pokutám od regulačních orgánů v důsledku porušení předpisů nebo narušení bezpečnosti dat, to kromě značné finanční zátěže může znamenat i negativní publicitu.

Plných 37 % respondentů identifikovalo ztrátu příjmů či zákazníků v důsledku bezpečnostního incidentu s kontejnery a Kubernetes. Tyto incidenty mohou vést ke zpoždění kriticky důležitých projektů nebo uvedení produktů, protože podniky musí upřednostnit úsilí v oblasti zabezpečení, aby odstranily zranitelnosti, které byly ve fázi vývoje přehlédnuty. Toto zpoždění by mohlo mít pro podnik dominový efekt, který vede k dalším ztrátám příjmů, nespokojenosti zákazníků nebo dokonce ke ztrátě podílu na trhu ve prospěch konkurence. Tyto typy událostí mohou také narušit důvěru ve schopnost podniku chránit citlivé údaje, což může vést k úplné ztrátě zákazníků.

Když organizace upřednostní zabezpečení hned na počátku nativně cloudové strategie (investují do ochrany podnikových aktiv, jako jsou citlivá data, duševní vlastnictví a informace o zákaznících), mohou zároveň lépe plnit regulační požadavky, podpořit kontinuitu podnikání, udržet si důvěru zákazníků a snížit náklady na pozdější nápravu bezpečnostních problémů.

Obavy o bezpečnost dodavatelského řetězce softwaru

Pozornost věnovaná bezpečnosti dodavatelského řetězce softwaru je stále vysoká, a to z dobrého důvodu. Společnost Sonatype uvedla, že za poslední tři roky došlo k ohromujícímu průměrnému ročnímu nárůstu útoků na dodavatelský řetězec softwaru o 742 % (Sonatype, 8. výroční zpráva o stavu dodavatelského řetězce softwaru). Ve snaze o identifikaci konkrétních problémů dodavatelského řetězce, které manažerům IT nedávají spát, byla respondentům průzkumu položena řada otázek týkajících se zabezpečení jejich dodavatelského řetězce softwaru souvisejícího s Kubernetes, včetně toho, jaké incidenty je nejvíce znepokojují a zda se s nějakými v uplynulém roce setkali.

Zjištění odpovídají tomu, co by se dalo očekávat od rozsáhlých dodavatelských řetězců softwaru, které jsou příznačné pro kontejnerizované prostředí. Mezi tři nejčastější problémy patří zranitelné součásti aplikací (32 %), nedostatečná kontrola přístupu (30 %) a nedostatek informací o součástech softwaru (SBOM) a jejich původu (29 %).

Alarmující ale je, že více než polovina respondentů se setkala prakticky s každým problémem, který byl v otázkách identifikován, přičemž zranitelné komponenty aplikací a slabiny CI/CD procesů byly dva nejčastěji uváděné problémy, se kterými se respondenti setkali.

Dobrou zprávou je, že mnoho organizací činí kroky k lepšímu zabezpečení svých dodavatelských řetězců softwaru. Zabezpečení dodavatelského řetězce softwaru je složitý a mnohostranný problém, ale komplexní DevSecOps přístup je účinnou strategií. Téměř polovina respondentů už má iniciativu DevSecOps v pokročilé fázi, a dalších 39 % chápe hodnotu DevSecOps a je v počáteční fázi zavádění.

Zaměřením se na zabezpečení softwarových komponent a závislostí v rané fázi životního cyklu vývoje softwaru a využitím postupů DevSecOps k automatizaci integrace zabezpečení v každé fázi mohou organizace přejít od nekonzistentních, manuálních procesů ke konzistentním, opakovatelným a automatizovaným operacím.

Autor: Ajmal Kohgadai, senior principal produktový manažer pro oblast bezpečnosti, Red Hat

Štítky: 
Bezpečnost, Cloud computing, Kubernetes, Hybridní cloud, Red Hat
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Obavy o zabezpečení cloudů má 96 % firem

9. 5. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Neustálý vývoj a zavádění nových cloudových aplikací komplikuje zabezpečení podnikového IT. Podle průzkumu společnosti Fortinet například 96 % respondentů uvádí, že mají střední nebo velké obavy o cloudovou bezpečnost. Podle 93 % dotazovaných je vážným problémem zejména všeobecný nedostatek odborníků na zabezpečení cloudů. Čtěte více

Nový tým Esetu se zaměří na mezinárodní kyberkriminalitu

6. 5. 2024. (redaktor: František Doupal, zdroj: Eset)
Bezpečnostní experti z pražské pobočky ESETu se nově cíleně zaměří na mezinárodní aktivity kyberkriminálních útočných skupin. Nově vzniklý tým vedený Jakubem Součkem má za úkol aktivně vyhledávat a dlouhodobě monitorovat obávané útoky ransomwarem, který dle dat společnosti ESET posílil v minulém roce o více než 50 procent. Čtěte více

Třetina zaměstnanců v práci sdílí hesla, otevírá neznámé přílohy nebo jinak ohrožuje bezpečnost

3. 5. 2024. (redaktor: František Doupal, zdroj: Anect)
Třetina českých zaměstnanců porušuje zásady bezpečného chování na internetu a své zaměstnavatele tak vystavuje zvýšenému riziku online podvodu nebo hackerského útoku. Lidé například navzájem sdílejí přihlašovací údaje do firemních systémů, zasílají pracovní dokumenty soukromým e-mailem či přes sociální sítě nebo k práci využívají neschválené soukromé počítače či telefony. Čtěte více

Počet DDoS útoků na české firmy roste druhý měsíc v řadě

3. 5. 2024. (redaktor: František Doupal, zdroj: ComSource)
Počty DDoS útoků na české firmy i jejich celková intenzita v březnu opět vzrostly. Oproti předcházejícímu měsíci dvojnásobně, ve srovnání se začátkem roku dokonce šestinásobně. Dostaly se tak přibližně na úroveň léta loňského roku. Trendem je přitom využívání stále kvalitnějších a efektivnějších útoků. Nejvíce útoků již od července loňského roku míří z Ruska. Čtěte více