Stav bezpečnosti Kubernetes v roce 2023

24. 4. 2023. (redaktor: František Doupal, zdroj: Red Hat)
V posledních několika letech se míra nasazování technologie Kubernetes prudce zvýšila a tato platforma pro orchestraci kontejnerů se stala základním kamenem mnoha projektů digitální transformace.
Ajmal Kohgadai, senior principal produktový manažer pro oblast bezpečnosti, Red Hat

I když se organizace s používáním této technologie v produkčním prostředí již vyrovnaly, stále přetrvávají obavy ohledně nejlepších způsobů zabezpečení kontejnerizovaných úloh.

Studie společnosti Red Hat s názvem „Stav bezpečnosti Kubernetes v roce 2023“ se zabývá konkrétními bezpečnostními riziky, kterým organizace čelí v souvislosti s nativně cloudovým vývojem, včetně rizik pro jejich dodavatelský řetězec softwaru, a způsoby, jak tato rizika zmírňují, aby ochránily své aplikace a prostředí IT.

Studie vychází z průzkumu mezi 600 odborníky na DevOps, inženýring a bezpečnost z celého světa a odhaluje některé z nejčastějších bezpečnostních problémů, se kterými se organizace potýkají na cestě k nativně cloudovému vývoji, a jejich dopad na podnikání. Studie také poskytuje osvědčené postupy a pokyny pro týmy zabývající se vývojem aplikací a zabezpečením, které mohou pomoci snížit jejich bezpečnostní rizika.

Mezinejvýznamnější zjištění v letošním rocepatří:

  • 38 % respondentů uvádí, že investice do zabezpečení kontejnerových operací jsou nedostatečné, což je o sedm procentních bodů více než v roce 2022.
  • 67 % respondentů muselo zpomalit zavádění nativně cloudového vývoje z důvodu obav o bezpečnost.
  • Více než polovina respondentů se v posledních 12 měsících setkala s problémem s dodavatelským řetězcem softwaru souvisejícím s nativně cloudovým a kontejnerizovaným vývojem.

Investice neodpovídají míře nasazení

V posledních několika letech se neustále setkáváme s tím, že jedním z největších problémů při zavádění kontejnerů zůstává bezpečnost. Letošní průzkum se nelišil, neboť 38 % respondentů uvedlo, že se bezpečnost nebere dostatečně vážně nebo že jsou investice do bezpečnosti nedostatečné, což je o sedm procentních bodů více než loni. Zajímavé je, že míra nasazení stále roste, ale ne vždy je tento růst doprovázen stejným růstem investic do zabezpečení.

Nativně cloudová řešení vyžadují i nativně cloudová bezpečnostní opatření, která často mohou (a měla by) zahrnovat DevSecOps přístup. Týmy IT se musí zaměřit na výběr a implementaci bezpečnostních nástrojů, které poskytují zpětnou vazbu a ochranné mantinely v CI/CD (Continuous Integration, kontinuální integrace / Continuous Deployment, kontinuální nasazení) v aplikační i infrastrukturní vývojové praxi. Organizace musí tento přechod u svých transformačních iniciativ plánovat a nespoléhat se pouze na stávající řešení, která často vyžadují značné úpravy nebo přizpůsobení, aby vyhovovala požadavkům nativně cloudového computingu.

Jedním z nejlepších způsobů, jak překonat rozpor mezi investicemi a mírou nasazení, je investovat do nativně cloudových nástrojů s integrovaným zabezpečením, spíše než do doplňků. Díky zabezpečení integrovanému do řešení – od operačního systému až po aplikační úroveň – nemusí organizace hledat další peníze v rozpočtu na bezpečnostní řešení, která odpovídají jejich nejnovějším technologiím.

Obavy o bezpečnost brání lepším obchodním výsledkům

Jedním z hlavních důvodů pro zavedení nativně cloudových technologií je agilita, kterou poskytují. Rychlejší uvádění produktů a služeb na trh, přizpůsobivost a spolehlivost – to vše jsou výhody nativně cloudových technologií a klíčové faktory, které podniky vedou k digitální transformaci jejich IT infrastruktury. Tyto výhody se však vždy neprojeví – průzkum zjistil, že 67 % respondentů muselo z důvodu obav o bezpečnost odložit nebo zpomalit nasazení aplikací. To není příliš překvapivé, když uvážíme, že nové technologie často přinášejí nepředvídané bezpečnostní problémy. Ale na bezpečnost by se mělo pohlížet jako na součást úspěšného nasazení technologie, nikoli jako na překážku nebo újmu při nativně cloudovém vývoji.

Drobná zpoždění jsou však často tím nejmenším, co organizace v případě bezpečnostních incidentů při nativně cloudovém vývoji trápí, protože podle průzkumu mohou být dopady na podnikání ještě závažnější. Hned 21 % respondentů uvedlo, že bezpečnostní incident vedl k propuštění zaměstnance, a 25 % uvedlo, že organizace byla pokutována. Kromě zřejmého dopadu na spolupracovníky by to mohlo vést ke ztrátě cenných talentů, znalostí a zkušeností v celé organizaci IT. Pro podniky, které čelí pokutám od regulačních orgánů v důsledku porušení předpisů nebo narušení bezpečnosti dat, to kromě značné finanční zátěže může znamenat i negativní publicitu.

Plných 37 % respondentů identifikovalo ztrátu příjmů či zákazníků v důsledku bezpečnostního incidentu s kontejnery a Kubernetes. Tyto incidenty mohou vést ke zpoždění kriticky důležitých projektů nebo uvedení produktů, protože podniky musí upřednostnit úsilí v oblasti zabezpečení, aby odstranily zranitelnosti, které byly ve fázi vývoje přehlédnuty. Toto zpoždění by mohlo mít pro podnik dominový efekt, který vede k dalším ztrátám příjmů, nespokojenosti zákazníků nebo dokonce ke ztrátě podílu na trhu ve prospěch konkurence. Tyto typy událostí mohou také narušit důvěru ve schopnost podniku chránit citlivé údaje, což může vést k úplné ztrátě zákazníků.

Když organizace upřednostní zabezpečení hned na počátku nativně cloudové strategie (investují do ochrany podnikových aktiv, jako jsou citlivá data, duševní vlastnictví a informace o zákaznících), mohou zároveň lépe plnit regulační požadavky, podpořit kontinuitu podnikání, udržet si důvěru zákazníků a snížit náklady na pozdější nápravu bezpečnostních problémů.

Obavy o bezpečnost dodavatelského řetězce softwaru

Pozornost věnovaná bezpečnosti dodavatelského řetězce softwaru je stále vysoká, a to z dobrého důvodu. Společnost Sonatype uvedla, že za poslední tři roky došlo k ohromujícímu průměrnému ročnímu nárůstu útoků na dodavatelský řetězec softwaru o 742 % (Sonatype, 8. výroční zpráva o stavu dodavatelského řetězce softwaru). Ve snaze o identifikaci konkrétních problémů dodavatelského řetězce, které manažerům IT nedávají spát, byla respondentům průzkumu položena řada otázek týkajících se zabezpečení jejich dodavatelského řetězce softwaru souvisejícího s Kubernetes, včetně toho, jaké incidenty je nejvíce znepokojují a zda se s nějakými v uplynulém roce setkali.

Zjištění odpovídají tomu, co by se dalo očekávat od rozsáhlých dodavatelských řetězců softwaru, které jsou příznačné pro kontejnerizované prostředí. Mezi tři nejčastější problémy patří zranitelné součásti aplikací (32 %), nedostatečná kontrola přístupu (30 %) a nedostatek informací o součástech softwaru (SBOM) a jejich původu (29 %).

Alarmující ale je, že více než polovina respondentů se setkala prakticky s každým problémem, který byl v otázkách identifikován, přičemž zranitelné komponenty aplikací a slabiny CI/CD procesů byly dva nejčastěji uváděné problémy, se kterými se respondenti setkali.

Dobrou zprávou je, že mnoho organizací činí kroky k lepšímu zabezpečení svých dodavatelských řetězců softwaru. Zabezpečení dodavatelského řetězce softwaru je složitý a mnohostranný problém, ale komplexní DevSecOps přístup je účinnou strategií. Téměř polovina respondentů už má iniciativu DevSecOps v pokročilé fázi, a dalších 39 % chápe hodnotu DevSecOps a je v počáteční fázi zavádění.

Zaměřením se na zabezpečení softwarových komponent a závislostí v rané fázi životního cyklu vývoje softwaru a využitím postupů DevSecOps k automatizaci integrace zabezpečení v každé fázi mohou organizace přejít od nekonzistentních, manuálních procesů ke konzistentním, opakovatelným a automatizovaným operacím.

Autor: Ajmal Kohgadai, senior principal produktový manažer pro oblast bezpečnosti, Red Hat

Štítky: 
Bezpečnost, Cloud computing, Kubernetes, Hybridní cloud, Red Hat
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

České podniky čelí většímu počtu kyberútoků než organizace v okolních zemích

26. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
První čtvrtletí roku 2024 přineslo další posun v kybernetických válkách. Kyberbezpečnostní společnost Check Point Software Technologies zaznamenala výrazný nárůst kyberútoků, kdy v 1. čtvrtletí 2024 došlo k 28% nárůstu průměrného počtu kybernetických útoků na jednu organizaci v porovnání s posledním čtvrtletím roku 2023. Největší nápor směřuje na vzdělávací a výzkumné organizace. Čtěte více

Eviden monitoruje na dark webu ukradená data a pomáhá tak firmám předvídat kybernetické hrozby

25. 4. 2024. (redaktor: František Doupal, zdroj: Eviden)
Eviden svým zákazníkům poskytuje službu prediktivní bezpečnosti založenou na řešení LUMINAR monitorující únik citlivých informací do prostředí dark webu. Jde o službu, která firmám na základě kontinuálního monitoringu umožňuje vyhledávat a sledovat data a informace, které by útočníci mohli zneužít pro kybernetický útok a proaktivně tak přijímat preventivní opatření. Čtěte více
Scott Tyson, ředitel prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos

Scott Tyson (Sophos): Pojďte s námi udávat trendy v kybernetické bezpečnosti

24. 4. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
Při příležitosti pražského setkání MSP partnerů jsme měli možnost hovořit se Scottem Tysonem, ředitelem prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos. Mluvili jsme o spravovaných službách, řízené detekci a reakci na hrozby, budování vztahů s obchodními partnery a mnoha dalších aspektech oboru, které budou podle společnosti Sophos udávat směr vývoje celého odvětví. Čtěte více

Pět největších trendů v oblasti SASE pro rok 2024

19. 4. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Situace na poli kyberbezpečnosti je komplikovaná. Společnosti využívají tzv. hybridní pracovní sílu, desítky aplikací a třeba i řadu IoT zařízení. Jedním z řešení možných otázek může být přístup SASE (Secure Access Service Edge), na který se v následujícím komentáři zaměřila společnost Fortinet. Čtěte více