Stav zabezpečení Kubernetes

Dvakrát ročně ve své zprávě State of Kubernetes Security společnost StackRox zkoumá, jak společnosti zavádějí Kubernetes, kontejnery a cloudové technologie a jak se vyrovnávají s výzvami spojenými se zabezpečením těchto prostředí.

Společnost StackRox, kterou letos převzal open sourcový gigant Red Hat, provedla pro svůj letní report roku 2021 průzkum mezi více než 500 odborníky na DevOps, inženýrství a bezpečnost. Šetření odhalila nová úskalí v oblasti kontejnerů, kterým vedoucí IT pracovníci čelí, a to, jak organizace přijímají iniciativy DevSecOps k ochraně svých cloudových prostředí. Celá zpráva je k dispozici zde a níže uvádíme některá klíčová zjištění.

Obavy přetrvávají – a zpomalují inovace

Navzdory rostoucímu tempu nasazování kontejnerů a technologie Kubernetes zůstává otázka bezpečnosti hlavním problémem. Není to překvapivé, protože 94 % respondentů uvedlo, že během posledních 12 měsíců došlo v jejich prostředí Kubernetes a kontejnerů k bezpečnostnímu incidentu. Více než polovina respondentů (55 %) pak musela kvůli zabezpečení odložit nasazení aplikací Kubernetes do produkce.

Nejčastěji uváděnou příčinou narušení dat a úspěšných hackerských útoků je lidská chyba – téměř 60 % respondentů uvedlo, že se v posledních 12 měsících setkali ve svých prostředích s incidentem způsobeným chybnou konfigurací. Téměř třetina objevila závažnou zranitelnost a další třetina uvedla, že k bezpečnostnímu incidentu došlo za provozu. Nejenže jsou chybné konfigurace nejčastější, ale respondenti průzkumu se jich také nejvíce obávají: 47 % respondentů uvedlo obavy z vystavení rizikům v důsledku chybné konfigurace v jejich kontejnerových a Kubernetes prostředích, což je téměř čtyřikrát více než obavy z útoků (13 %).

Správa konfigurace představuje pro odborníky na bezpečnost obtížnou výzvu. Zatímco pro skenování zranitelností obrazů kontejnerů je k dispozici řada nástrojů, správa konfigurace vyžaduje větší pozornost. Nejlepším způsobem, jak tento problém řešit, je co nejvíce automatizovat správu konfigurace, aby ochranné mantinely namísto lidí poskytovaly bezpečnostní nástroje, které vývojářům a týmům DevOps pomohou bezpečně konfigurovat kontejnery a Kubernetes.

Je potřeba začít dříve

Výsledky průzkumu také zdůrazňují důležitost spolupráce napříč vývojovými, provozními a bezpečnostními týmy při implementaci zabezpečení už v rané fázi životního cyklu vývoje, aby bylo možné dosáhnout největších přínosů Kubernetes – tedy rychlých inovací.

Mezi různými rolemi je DevOps jedinou rolí, která je nejčastěji uváděna jako zodpovědná za zabezpečení kontejnerů a Kubernetes. V souladu s potřebou začít řešit zabezpečení v dřívější fázi vývoje považuje 15 % respondentů vývojáře za hlavní vlastníky zabezpečení Kubernetes, přičemž pouze 18 % respondentů označilo za nejvíce odpovědné bezpečnostní týmy.

Toto rozložení ukazuje, že pokud jde o zabezpečení kontejnerů a Kubernetes, je potřeba zapojení všech. Tradičně byl ústředním kontrolním bodem pro prosazování zásad zabezpečení a shody s předpisy bezpečnostní tým. Zavádění kontejnerů a Kubernetes ale často řídí především DevOps, takže není překvapivé, že respondenti označují jako odpovědný za zabezpečení těchto technologií právě tento tým. K překlenutí těchto mezer musí bezpečnostní nástroje pro kontejnery a Kubernetes usnadňovat úzkou spolupráci mezi různými týmy – od vývojářů přes DevOps a Ops až po bezpečnostní tým – namísto toho, aby udržovaly oddělená sila, která mohou organizace sužovat.

Průzkum dále ukázal, že DevSecOps už není jen módní slovo. Tento termín, který zahrnuje procesy a nástroje umožňující začlenit bezpečnost do životního cyklu vývoje aplikací, a nikoliv jen jako dodatečnou myšlenku, se zavádí do praxe. Naprostá většina respondentů uvedla, že nějakou formu iniciativy DevSecOps již realizuje. Pouze 26 % respondentů nadále provozuje DevOps odděleně od bezpečnosti.

Investice do zabezpečení

Organizace sice s nadšením přijímají kontejnery a Kubernetes, pokud ale současně neinvestují do nezbytných bezpečnostních strategií a nástrojů, riskují bezpečnost svých kritických aplikací a možná budou muset odložit jejich nasazení. Nedostatečné investice do zabezpečení jsou u dotazovaných společností nejčastěji zmiňovanou obavou týkající se strategie pro kontejnery.

Dobrou zprávou je, že podíl respondentů, kteří mají alespoň základní bezpečnostní strategii pro Kubernetes, činí 67 %. Ještě pozoruhodnější je ale množství respondentů – pouze o 7 %, kteří bezpečnostní strategii zcela postrádají. I když jsou tyto údaje slibné, ukazují, že ačkoli bezpečnostní strategie dozrávají, organizace musí do svých plánů dále investovat, aby mohly adekvátně řešit potřeby zabezpečení kontejnerů a dodržování předpisů.

Díky integraci zabezpečení Kubernetes mohou organizace využít bohatá deklarativní data a nativní ovládací prvky v Kubernetes pro získání klíčových bezpečnostních výhod. Analýza deklarativních dat dostupných v systému Kubernetes může přinést lepší zabezpečení, a to díky poznatkům o správě konfigurace, dodržování předpisů, segmentaci a zranitelnostech specifických pro Kubernetes. A nejen to. Používání stejné infrastruktury a jejích ovládacích prvků pro vývoj aplikací i zabezpečení pomáhá zrychlit křivku učení a umožňuje rychlejší analýzu a řešení problémů.