Ajmal Kohgadai, Senior Principal Product Manager, Red Hat – Konteneryzacja jest wciąż stosunkowo młodym mechanizmem wirtualizacji, ale stopień jej przyjmowania gwałtownie wzrósł w ciągu ostatnich kilku lat. Kubernetes stał się podstawą wielu inicjatyw z zakresu cyfrowej transformacji. Jednak firmy wciąż mają obawy dotyczące sposobów zabezpieczania kontenerów. Raport „The State of Kubernetes Security for 2023”, opublikowany przez firmę Red Hat, wskazuje konkretne zagrożenia, z jakimi stykają się przedsiębiorstwa przy
rozwijaniu technik chmurowych (w tym zagrożenia dla łańcucha dostaw oprogramowania). Opisuje również sposoby ograniczania ryzyka, aby chronić aplikacje i środowiska IT.
Raport bazuje na badaniu przeprowadzonym wśród 600 specjalistów ds. bezpieczeństwa, DevOps i inżynierów z całego świata. Opisuje najczęstsze wyzwania związane z ochroną środowisk IT, które pojawiają się w trakcie wdrażania natywnych usług chmurowych oraz ich wpływ na działalność biznesową. Dokument zawiera również najlepsze praktyki i wskazówki dla zespołów zajmujących się rozwijaniem aplikacji i zapewnianiem bezpieczeństwa.
Najważniejsze wnioski raportu to:
- Według 38% respondentów inwestycje w bezpieczeństwo operacji w środowisku kontenerowym nie są wystarczające. To wzrost o 7 punktów procentowych w stosunku do roku 2022.
- 67% respondentów musiało spowolnić proces przyjmowania natywnych usług chmurowych (zaprojektowanych od podstaw do świadczenia tylko w tym środowisku) ze względu na obawy związane z bezpieczeństwem.
- Ponad połowa respondentów w ciągu ostatnich 12 miesięcy doświadczyła problemów z łańcuchem dostaw oprogramowania, związanego z rozwojem chmury i konteneryzacją.
Inwestycje nie idą w parze ze wzrostem liczby wdrożeń
Bezpieczeństwo pozostaje jednym z największych problemów związanych z przyjmowaniem kontenerów. Trend ten widoczny jest w badaniach już od kilku lat. W tegorocznej ankiecie 38% respondentów stwierdziło, że kwestie związane z ich ochroną nie są traktowane dostatecznie poważnie lub inwestycje w ten obszar są niewystarczające. To wzrost o 7 punktów procentowych w porównaniu z rokiem ubiegłym. Mimo, iż stopień przyjmowania konteneryzacji wciąż rośnie, nie idzie za nim podobny wzrost inwestycji w bezpieczeństwo.
Rozwiązania w chmurze wymagają odpowiednio dostosowanych do tego środowiska zabezpieczeń. Przy ich tworzeniu może być (a wręcz powinno) być stosowane podejście DevSecOps, czyli uwzględnianie aspektów bezpieczeństwa IT na możliwie najwcześniejszym etapie cyklu życia aplikacji, w tym integrowanie ich już podczas prac programistycznych. Zespoły IT muszą skupić się na wybieraniu i wdrażaniu takich narzędzi ochronnych, które dostarczają informacje zwrotne i zapewniają możliwość ich implementacji w ramach procesów ciągłej integracji oprogramowania (Continuous Integration, CI) oraz ciągłego dostarczania go użytkownikom (Continuous Delivery, CD). Przedsiębiorstwa powinny rozważyć rewizję swojego podejścia do tych zagadnień jako część procesu transformacji, zamiast polegać wyłącznie na istniejących rozwiązaniach wymagających znacznego dostosowania do wymagań natywnych usług chmurowych.
Jednym z najlepszych sposobów na likwidację luki adaptacyjnej jest inwestycja w narzędzia od początku zaprojektowane do pracy w chmurze, w które wbudowane zostały funkcje ochronne. Dzięki zabezpieczeniom zintegrowanym z danym rozwiązaniem (na każdym poziomie – od systemu operacyjnego do aplikacji), firmy nie muszą przeznaczać dodatkowych środków na dopasowanie rozwiązań ochronnych do własnego środowiska.
Obawy o bezpieczeństwo utrudniają osiąganie satysfakcjonujących wyników biznesowych
Firmy decydują się na wdrażanie rozwiązań chmurowych głównie ze względu na zapewnianą przez nie elastyczność. Umożliwiają one skrócenie czasu wprowadzania produktów na rynek, ułatwiają dostosowanie mechanizmów działalności gospodarczej do rynkowych realiów czy też gwarantują niezawodność cyfrowej infrastruktury IT – to kluczowe zalety rozwiązań stworzonych specjalnie dla chmury. Z raportu Red Hat wynika jednak, że aż 67% respondentów musiało opóźnić lub spowolnić wdrażanie aplikacji z powodu obaw o bezpieczeństwo. Nowatorskie rozwiązania często niosą wyzwania, niemniej na kwestie ochrony aplikacji i danych należy patrzeć jak na element udanego procesu wdrożenia, a nie barierę dla rozwoju chmury.
Niewielkie opóźnienia to niejedyne wyzwania z jakimi mierzą się firmy wdrażające usługi chmurowe. Aż 21% respondentów stwierdziło, że incydent związany z bezpieczeństwem doprowadził do zwolnienia pracownika, a 25% odpowiedziało, że przedsiębiorstwo zostało obłożone karą finansową. Takie sytuacje mogą prowadzić do utraty cennych zasobów ludzkich. Firmy, na które nałożono grzywny z powodu naruszenia zgodności z przepisami, muszą liczyć się obciążeniami finansowymi oraz negatywnym rozgłosem.
37% badanych odnotowało utratę przychodów lub klientów w wyniku incydentu związanego z bezpieczeństwem kontenerów. Naruszenia mogą skutkować opóźnieniami krytycznych dla biznesu projektów lub premier produktów, ponieważ przedsiębiorstwa muszą wtedy nadać priorytet działaniom z zakresu ochrony zasobów, zwłaszcza likwidowaniu luk. Takie opóźnienie może wywołać w firmie efekt kuli śnieżnej: dalszą utratę przychodów, niezadowolenie klientów, a nawet spadek udziału w rynku na rzecz konkurencji.
Nadając strategiczny priorytet bezpieczeństwu na wczesnym etapie wdrażania natywnych usług chmurowych, firmy powinny inwestować w ochronę ważnych zasobów biznesowych, takich jak wrażliwe dane, własność intelektualna czy informacje o klientach. Mogą też lepiej spełniać wymogi regulacyjne, zapewnić sobie ciągłość działania, podtrzymać zaufanie klientów i zmniejszać koszty późniejszego usuwania problemów.
Wzrost liczby ataków na łańcuch dostaw oprogramowania
Firma Sonatype poinformowała, że w ciągu ostatnich 3 lat zauważono zaskakujący wzrost liczby ataków na łańcuch dostaw oprogramowania o średnio 742% rocznie. Ponieważ uzasadnia to obawy dotyczące tego obszaru, dlatego w badaniu liderom IT zadano pytania związane z bezpieczeństwem łańcucha dostaw oprogramowania w środowisku Kubernetes.
Wyniki są zgodne z tym, czego można spodziewać się po rozległych łańcuchach dostaw oprogramowania, charakterystycznych dla środowiska kontenerowego. Trzy największe obawy to podatne na ataki komponenty aplikacji (32%), niewystarczająca kontrola dostępu (30%) oraz brak wykazu składników oprogramowania (Software Bill of Materials, SBOM) lub jego pochodzenia (29%).
Niepokojące jest jednak to, że ponad połowa respondentów doświadczyła każdego spośród wymienionych w pytaniu problemów. Najczęściej wymieniano podatne na ataki komponenty aplikacji, jak też niedoskonałości procesów ciągłej integracji oprogramowania (CI) oraz ciągłego dostarczania go użytkownikom (CD).
Wiele przedsiębiorstw podejmuje kroki w celu lepszego zabezpieczenia swoich łańcuchów dostaw oprogramowania. To złożony obszar, jednak stosowanie kompleksowego podejścia DevSecOps jest skuteczną strategią. Prawie połowa respondentów deklaruje, że znajduje się w zaawansowanym stadium wdrażania inicjatyw DevSecOps. Kolejne 39% rozumie wartość DevSecOps i jest na wczesnym etapie przyjmowania tej strategii.
Firmy są w stanie przejść od niespójnych, ręcznych procesów do uporządkowanych, powtarzalnych i zautomatyzowanych operacji. Konieczne jest skupienie się na bezpieczeństwie komponentów oprogramowania i ich wzajemnych zależnościach na wczesnym etapie cyklu życia oprogramowania oraz wykorzystanie praktyk DevSecOps do automatyzacji integracji mechanizmów ochronnych na każdym etapie.