[KRÖNIKA] Användandet av Kubernetes har ökat ordentligt under de senaste åren eftersom många företag valt att använda Kubernetes för orkestrering av containers i samband med sitt arbete med digital transformation.
Samtidigt finns en osäkerhet kring hur man bäst säkrar sina containerbaserade workloads.
Red Hats rapport The State of Kubernetes Security 2023 undersöker de specifika säkerhetsrisker som organisationer står inför vid molnbaserad utveckling, inklusive risker relaterade till mjukvaruförsörjningskedjan, och hur riskerna kan minimeras för att skydda applikationer och IT-miljöer.
Rapporten baseras på en undersökning bland 600 DevOps-specialister, ingenjörer och säkerhetsexperter från hela världen, och påvisar några av de vanligaste säkerhetsutmaningarna under deras införande av molnbaserade lösningar och hur de påverkar verksamheten. Rapporten ger också bästa praxis och vägledning för applikationsutvecklings- och säkerhetsteam.
Rapporten visar bland annat:
- 38% uppger att säkerhetsinvesteringarna för container-relaterad verksamhet är för små, en ökning med 7% från 2022.
- 67% har varit tvungna att sakta ner sina cloud-native antaganden på grund av säkerhetsproblem.
- Mer än hälften har upplevt problem med mjukvaruförsörjningen relaterad till cloud-native och container-baserad utveckling under de senaste 12 månaderna.
Investeringarna matchar inte användningen
Under de senaste åren har säkerheten konsekvent varit ett av de största problemen med att använda containers. Årets undersökning pekar på samma sak, då 38% av de svarande uppger att säkerheten inte tas på tillräckligt stort allvar eller att säkerhetsinvesteringarna är otillräckliga – vilket är en ökning med 7% jämfört med förra året. Användandet fortsätter att växa, men det motsvaras inte av säkerhetsinvesteringarna.
Ett av de bästa sätten att övervinna detta är genom att investera i molnbaserade verktyg med säkerhet inbyggt från grunden. Med säkerhet integrerad från operativsystemets grund till applikationsnivå behöver inte organisationer hitta ytterligare budget för säkerhetslösningar.
Säkerhetsproblem hindrar affärsresultat
En av de främsta anledningarna till att använda molnbaserade tekniker är smidighet och snabbhet. Snabbare time-to-market, flexibilitet och tillförlitlighet är alla fördelar med molnbaserad teknik och viktiga drivkrafter för företag att förändra sin IT-infrastruktur. Dock realiseras inte alltid dessa fördelar. Undersökningen visar att 67% av de svarande har varit tvungna att fördröja eller sakta ner implementeringen av applikationer på grund av säkerhetsproblem. Det är inte så överraskande eftersom ny teknik ofta skapar oförutsedda säkerhetsutmaningar, men säkerhet bör ses som en del av framgångsrik teknikanvändning, inte som ett hinder.
Mindre förseningar är dock oftast det minsta problemet för en organisation när det kommer till molnbaserade säkerhetsincidenter. 21% sa att en säkerhetsincident har lett till uppsägning av anställda, och 25% sa att organisationen fått böter.
37% av de tillfrågade identifierade intäkts- och kundförluster som ett resultat av en container- och Kubernetes-säkerhetsincident.Dessa incidenter kan resultera i förseningar av kritiska projekt eller produktlanseringar. Fördröjningar kan dessutom medföra ytterligare förlorade intäkter, missnöje bland kunder eller till och med förlust av marknadsandelar. Dessa typer av händelser kan också urholka kundernas förtroende för ett företags förmåga att skydda känslig data.
Genom att tidigt prioritera säkerheten i en molnbaserad strategi, investerar organisationer i att skydda affärstillgångar, såsom känslig data, immateriella rättigheter och kundinformation. De får också ännu bättre förutsättningar för att möta regulatoriska krav, driva affärskontinuitet, behålla kundernas förtroende och minska kostnaderna för att åtgärda säkerhetsproblem senare.
Oro över säkerhet för programvarans leveranskedja
Uppmärksamheten kring säkerheten i mjukvaruförsörjningskedjan är alltid hög – och av goda skäl. Sonatype rapporterade att det har skett en genomsnittlig årlig ökning av Software Supply Chain-attacker på 742% under de senaste tre åren[1]. Undersökningen ställde en rad frågor relaterade till säkerheten för deras mjukvaruförsörjningskedja i Kubernetes, inklusive vilka incidenter som är mest oroande och om de har upplevt någon under det senaste året.
Resultaten visar att de tre främsta problemen är sårbara applikationskomponenter (32%), otillräckliga åtkomstkontroller (30%) och brist på software bill of materials (SBOM) eller härkomst (29%).
Det är alarmerande att mer än hälften har upplevt praktiskt taget alla problem som nämns, med sårbara applikationskomponenter och svagheter i pipeline för kontinuerlig integration/kontinuerlig leverans (CI/CD) som de två mest citerade problemen.
Den goda nyheten är att många organisationer gör framsteg för att säkra sina mjukvaruförsörjningskedjor. Även om det är ett komplext och mångfacetterat område, är det en effektiv strategi att ha en heltäckande DevSecOps-strategi. Nästan hälften av de tillfrågade har ett DevSecOps-initiativ i avancerat stadie. Ytterligare 39% förstår värdet av DevSecOps och befinner sig i ett tidigt skede.
Dessutom, genom att fokusera på säkerheten för programvarukomponenter och beroenden tidigt i mjukvaruutvecklingens livscykel och använda DevSecOps för att automatisera integrationen av säkerhet i varje fas, kan organisationer gå från inkonsekventa, manuella processer till konsekventa, repeterbara och automatiserade operationer.
Av Ajmal Kohgadai, Senior Principal Product Marketing Manager, Security, Red Hat