Jak si aktuálně stojí zabezpečení Kubernetes?

1. 7. 2021. (redaktor: František Doupal, zdroj: Red Hat)
Dvakrát ročně ve své zprávě State of Kubernetes Security společnost StackRox zkoumá, jak společnosti zavádějí Kubernetes, kontejnery a cloudové technologie a jak se vyrovnávají s výzvami spojenými se zabezpečením těchto prostředí.

Společnost StackRox, kterou letos převzal open sourcový gigant Red Hat, provedla pro svůj letní report roku 2021 průzkum mezi více než 500 odborníky na DevOps, inženýrství a bezpečnost. Šetření odhalila nová úskalí v oblasti kontejnerů, kterým vedoucí IT pracovníci čelí, a to, jak organizace přijímají iniciativy DevSecOps k ochraně svých cloudových prostředí.

Celá zpráva je k dispozici zde a níže uvádíme některá klíčová zjištění.

Obavy přetrvávají – a zpomalují inovace

Navzdory rostoucímu tempu nasazování kontejnerů a technologie Kubernetes zůstává otázka bezpečnosti hlavním problémem. Není to překvapivé, protože 94 % respondentů uvedlo, že během posledních 12 měsíců došlo v jejich prostředí Kubernetes a kontejnerů k bezpečnostnímu incidentu. Více než polovina respondentů (55 %) pak musela kvůli zabezpečení odložit nasazení aplikací Kubernetes do produkce.

Nejčastěji uváděnou příčinou narušení dat a úspěšných hackerských útoků je lidská chyba – téměř 60 % respondentů uvedlo, že se v posledních 12 měsících setkali ve svých prostředích s incidentem způsobeným chybnou konfigurací. Téměř třetina objevila závažnou zranitelnost a další třetina uvedla, že k bezpečnostnímu incidentu došlo za provozu. Nejenže jsou chybné konfigurace nejčastější, ale respondenti průzkumu se jich také nejvíce obávají: 47 % respondentů uvedlo obavy z vystavení rizikům v důsledku chybné konfigurace v jejich kontejnerových a Kubernetes prostředích, což je téměř čtyřikrát více než obavy z útoků (13 %).

Správa konfigurace představuje pro odborníky na bezpečnost obtížnou výzvu. Zatímco pro skenování zranitelností obrazů kontejnerů je k dispozici řada nástrojů, správa konfigurace vyžaduje větší pozornost. Nejlepším způsobem, jak tento problém řešit, je co nejvíce automatizovat správu konfigurace, aby ochranné mantinely namísto lidí poskytovaly bezpečnostní nástroje, které vývojářům a týmům DevOps pomohou bezpečně konfigurovat kontejnery a Kubernetes.

Je potřeba začít dříve

Výsledky průzkumu také zdůrazňují důležitost spolupráce napříč vývojovými, provozními a bezpečnostními týmy při implementaci zabezpečení už v rané fázi životního cyklu vývoje, aby bylo možné dosáhnout největších přínosů Kubernetes – tedy rychlých inovací.

Mezi různými rolemi je DevOps jedinou rolí, která je nejčastěji uváděna jako zodpovědná za zabezpečení kontejnerů a Kubernetes. V souladu s potřebou začít řešit zabezpečení v dřívější fázi vývoje považuje 15 % respondentů vývojáře za hlavní vlastníky zabezpečení Kubernetes, přičemž pouze 18 % respondentů označilo za nejvíce odpovědné bezpečnostní týmy.

Toto rozložení ukazuje, že pokud jde o zabezpečení kontejnerů a Kubernetes, je potřeba zapojení všech. Tradičně byl ústředním kontrolním bodem pro prosazování zásad zabezpečení a shody s předpisy bezpečnostní tým. Zavádění kontejnerů a Kubernetes ale často řídí především DevOps, takže není překvapivé, že respondenti označují jako odpovědný za zabezpečení těchto technologií právě tento tým. K překlenutí těchto mezer musí bezpečnostní nástroje pro kontejnery a Kubernetes usnadňovat úzkou spolupráci mezi různými týmy – od vývojářů přes DevOps a Ops až po bezpečnostní tým – namísto toho, aby udržovaly oddělená sila, která mohou organizace sužovat.

Průzkum dále ukázal, že DevSecOps už není jen módní slovo. Tento termín, který zahrnuje procesy a nástroje umožňující začlenit bezpečnost do životního cyklu vývoje aplikací, a nikoliv jen jako dodatečnou myšlenku, se zavádí do praxe. Naprostá většina respondentů uvedla, že nějakou formu iniciativy DevSecOps již realizuje. Pouze 26 % respondentů nadále provozuje DevOps odděleně od bezpečnosti.

Investice do zabezpečení

Organizace sice s nadšením přijímají kontejnery a Kubernetes, pokud ale současně neinvestují do nezbytných bezpečnostních strategií a nástrojů, riskují bezpečnost svých kritických aplikací a možná budou muset odložit jejich nasazení. Nedostatečné investice do zabezpečení jsou u dotazovaných společností nejčastěji zmiňovanou obavou týkající se strategie pro kontejnery.

Dobrou zprávou je, že podíl respondentů, kteří mají alespoň základní bezpečnostní strategii pro Kubernetes, činí 67 %. Ještě pozoruhodnější je ale množství respondentů - pouze o 7 %, kteří bezpečnostní strategii zcela postrádají. I když jsou tyto údaje slibné, ukazují, že ačkoli bezpečnostní strategie dozrávají, organizace musí do svých plánů dále investovat, aby mohly adekvátně řešit potřeby zabezpečení kontejnerů a dodržování předpisů.

Díky integraci zabezpečení Kubernetes mohou organizace využít bohatá deklarativní data a nativní ovládací prvky v Kubernetes pro získání klíčových bezpečnostních výhod. Analýza deklarativních dat dostupných v systému Kubernetes může přinést lepší zabezpečení, a to díky poznatkům o správě konfigurace, dodržování předpisů, segmentaci a zranitelnostech specifických pro Kubernetes. A nejen to. Používání stejné infrastruktury a jejích ovládacích prvků pro vývoj aplikací i zabezpečení pomáhá zrychlit křivku učení a umožňuje rychlejší analýzu a řešení problémů.

Štítky: 
Bezpečnost, Kubernetes, Cloud computing, Hybridní cloud, Red Hat
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

České podniky čelí většímu počtu kyberútoků než organizace v okolních zemích

26. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
První čtvrtletí roku 2024 přineslo další posun v kybernetických válkách. Kyberbezpečnostní společnost Check Point Software Technologies zaznamenala výrazný nárůst kyberútoků, kdy v 1. čtvrtletí 2024 došlo k 28% nárůstu průměrného počtu kybernetických útoků na jednu organizaci v porovnání s posledním čtvrtletím roku 2023. Největší nápor směřuje na vzdělávací a výzkumné organizace. Čtěte více

Eviden monitoruje na dark webu ukradená data a pomáhá tak firmám předvídat kybernetické hrozby

25. 4. 2024. (redaktor: František Doupal, zdroj: Eviden)
Eviden svým zákazníkům poskytuje službu prediktivní bezpečnosti založenou na řešení LUMINAR monitorující únik citlivých informací do prostředí dark webu. Jde o službu, která firmám na základě kontinuálního monitoringu umožňuje vyhledávat a sledovat data a informace, které by útočníci mohli zneužít pro kybernetický útok a proaktivně tak přijímat preventivní opatření. Čtěte více
Scott Tyson, ředitel prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos

Scott Tyson (Sophos): Pojďte s námi udávat trendy v kybernetické bezpečnosti

24. 4. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
Při příležitosti pražského setkání MSP partnerů jsme měli možnost hovořit se Scottem Tysonem, ředitelem prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos. Mluvili jsme o spravovaných službách, řízené detekci a reakci na hrozby, budování vztahů s obchodními partnery a mnoha dalších aspektech oboru, které budou podle společnosti Sophos udávat směr vývoje celého odvětví. Čtěte více

Pět největších trendů v oblasti SASE pro rok 2024

19. 4. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Situace na poli kyberbezpečnosti je komplikovaná. Společnosti využívají tzv. hybridní pracovní sílu, desítky aplikací a třeba i řadu IoT zařízení. Jedním z řešení možných otázek může být přístup SASE (Secure Access Service Edge), na který se v následujícím komentáři zaměřila společnost Fortinet. Čtěte více