Bezpečnost Kubernetes v roce 2022
Kirsten Newcomer, ředitelka divize Cloud a DevSecOps strategie ve společnosti Red Hat
V tomto roce bude jednou z nejvýznamnějších oblastí zájmu zabezpečení dodavatelského řetězce softwaru. Organizace ji budou řešit částečně tím, že budou novými způsoby pokračovat v přesouvání bezpečnosti do dřívějších fází vývoje. Historicky se posun bezpečnosti do dřívějších fází projektů točil především kolem analýzy a detekce zranitelností. Toto zabezpečení jen jako součást sestavení aplikace ve skutečnosti nestačí a organizace potřebují účinně chránit celý svůj dodavatelský řetězec před narušením. Za tímto účelem budeme svědky investic do zavádění nových technologií, jako jsou nástroj Tekton CD chains nebo služba Sigstore, které jednoduše umožňují vývojářům podepisovat jejich kód a uživatelům zase snadno ověřit jeho původ.
Uvidíme změny ve způsobu, jakým organizace chrání aplikace v okamžiku jejich nasazení. Již dnes to pozorujeme v podobě zjednodušení přístupu v samotném systému Kubernetes, který se nazývá out-of-tree controls, kdy jednotlivé části Kubernetes jsou vyvíjeny jako nezávislé moduly, a proto vyžadují komplexní pohled na problematiku bezpečnosti celého dodavatelského řetězce. Nadále uvidíme růst v oblasti správy nasazení na základě zásad pomocí známých nástrojů, jako jsou OPA Gatekeeper, Kyverno a Argo CD, ale pozor bychom měli dávat i na nové nástroje na prosazování zásad a posilování jejich správy, které jsme dosud neviděli.
V tomto roce se zvýší zájem i o tzv. „esbom“, tedy seznam softwarových prvků, které tvoří daný softwarový produkt (SBOM, software bills of materials, softwarový kusovník). Navrhované standardy týkající se dodávání SBOM existují již delší dobu, ale kvůli obavám o bezpečnost dodavatelského řetězce softwaru jsme dospěli do bodu, kdy všechny přispívající organizace budou muset vyřešit, jak softwarové kusovníky dodávat. V odvětví se bude diskutovat o uvádění statických vs. dynamických informacích, jako jsou údaje o zranitelnostech v případě, že se balíček nezměnil, ale zranitelnosti s ním spojené ano. V souvislosti s tím se rychle rozvine i automatizace kolem SBOM a výrazně narostou metadata v souvisejících balíčcích.
Distributoři Kubernetes začnou přidávat další bezpečnostní funkce přímo do svých řešení, což pomůže zvýšit celkové zabezpečení a současně snížit náklady na zabezpečení nasazení Kubernetes. (7.3.2022)