Ajmal Kohgadai, senior principal produktový manažer pro oblast bezpečnosti, Red Hat
Přestože je Kubernetes stále relativně mladou technologií, v posledních několika letech se míra jejího nasazování prudce zvýšila a tato platforma pro orchestraci kontejnerů se stala základním kamenem mnoha iniciativ digitální transformace. I když se organizace s používáním této technologie v produkčním prostředí již vyrovnaly, stále přetrvávají obavy ohledně nejlepších způsobů zabezpečení kontejnerizovaných úloh. Studie společnosti Red Hat s názvem „Stav bezpečnosti Kubernetes v roce 2023“ se zabývá konkrétními bezpečnostními riziky, kterým organizace čelí v souvislosti s nativně cloudovým vývojem, včetně rizik pro jejich dodavatelský řetězec softwaru, a způsoby, jak tato rizika zmírňují, aby ochránily své aplikace a prostředí IT.
Studie vychází z průzkumu mezi 600 odborníky na DevOps, inženýring a bezpečnost z celého světa a odhaluje některé z nejčastějších bezpečnostních problémů, se kterými se organizace potýkají na cestě k nativně cloudovému vývoji, a jejich dopad na podnikání. Studie také poskytuje osvědčené postupy a pokyny pro týmy zabývající se vývojem aplikací a zabezpečením, které mohou pomoci snížit jejich bezpečnostní rizika.
Mezi nejvýznamnější zjištění v letošním roce patří:
■ 38 % respondentů uvádí, že investice do zabezpečení kontejnerových operací jsou nedostatečné, což je o 7 procentních bodů více než v roce 2022.
■ 67 % respondentů muselo zpomalit zavádění nativně cloudového vývoje z důvodu obav o bezpečnost.
■ Více než polovina respondentů se v posledních 12 měsících setkala s problémem s dodavatelským řetězcem softwaru souvisejícím s nativně cloudovým a kontejnerizovaným vývojem.
Investice neodpovídají míře nasazení
V posledních několika letech se neustále setkáváme s tím, že jedním z největších problémů při zavádění kontejnerů zůstává bezpečnost. Letošní průzkum se nelišil, neboť 38 % respondentů uvedlo, že se bezpečnost nebere dostatečně vážně nebo že jsou investice do bezpečnosti nedostatečné, což je o 7 procentních bodů více než loni. Zajímavé je, že míra nasazení stále roste, ale ne vždy je tento růst doprovázen stejným růstem investic do zabezpečení.
Nativně cloudová řešení vyžadují i nativně cloudová bezpečnostní opatření, která často mohou (a měla by) zahrnovat DevSecOps přístup. Týmy IT se musí zaměřit na výběr a implementaci bezpečnostních nástrojů, které poskytují zpětnou vazbu a ochranné mantinely v rámci CI/CD (Continuous Integration, kontinuální integrace / Continuous Deployment, kontinuální nasazení) v aplikační i infrastrukturní vývojové praxi. Organizace musí tento přechod plánovat v rámci svých transformačních iniciativ a nespoléhat se pouze na stávající řešení, která často vyžadují značné úpravy nebo přizpůsobení, aby vyhovovala požadavkům nativně cloudového computingu.
Jedním z nejlepších způsobů, jak překonat rozpor mezi investicemi a mírou nasazení, je investovat do nativně cloudových nástrojů s integrovaným zabezpečením, spíše než do doplňků. Díky zabezpečení integrovanému do řešení – od operačního systému až po aplikační úroveň – nemusí organizace hledat další peníze v rozpočtu na bezpečnostní řešení, která odpovídají jejich nejnovějším technologiím.
Obavy o bezpečnost brání lepším obchodním výsledkům
Jedním z hlavních důvodů pro zavedení nativně cloudových technologií je agilita, kterou poskytují. Rychlejší uvádění produktů a služeb na trh, přizpůsobivost a spolehlivost – to vše jsou výhody nativně cloudových technologií a klíčové faktory, které podniky vedou k digitální transformaci jejich IT infrastruktury. Tyto výhody ale nejsou vždy realizovány – průzkum zjistil, že 67 % respondentů muselo z důvodu obav o bezpečnost odložit nebo zpomalit nasazení aplikací. To není příliš překvapivé, když uvážíme, že nové technologie často přinášejí nepředvídané bezpečnostní problémy. Ale na bezpečnost by se mělo pohlížet jako na součást úspěšného nasazení technologie, nikoli jako na překážku nebo újmu při nativně cloudovém vývoji.
Drobná zpoždění jsou však často tím nejmenším, co organizace v případě bezpečnostních incidentů při nativně cloudovém vývoji trápí, protože podle průzkumu mohou být dopady na podnikání ještě závažnější. Hned 21 % respondentů uvedlo, že bezpečnostní incident vedl k propuštění zaměstnance, a 25 % uvedlo, že organizace byla pokutována. Kromě zřejmého dopadu na spolupracovníky by to mohlo vést ke ztrátě cenných talentů, znalostí a zkušeností v celé organizaci IT. Pro podniky, které čelí pokutám od regulačních orgánů v důsledku porušení předpisů nebo narušení bezpečnosti dat, to kromě značné finanční zátěže může znamenat i negativní publicitu.
Plných 37 % respondentů identifikovalo ztrátu příjmů či zákazníků v důsledku bezpečnostního incidentu s kontejnery a Kubernetes. Tyto incidenty mohou vést ke zpoždění kriticky důležitých projektů nebo uvedení produktů, protože podniky musí upřednostnit úsilí v oblasti zabezpečení, aby odstranily zranitelnosti, které byly ve fázi vývoje přehlédnuty. Toto zpoždění by mohlo mít pro podnik dominový efekt, který vede k dalším ztrátám příjmů, nespokojenosti zákazníků nebo dokonce ke ztrátě podílu na trhu ve prospěch konkurence. Tyto typy událostí mohou také narušit důvěru ve schopnost podniku chránit citlivé údaje, což může vést k úplné ztrátě zákazníků.
Když organizace upřednostní zabezpečení hned na počátku nativně cloudové strategie, investují do ochrany podnikových aktiv, jako jsou citlivá data, duševní vlastnictví a informace o zákaznících. Mohou také lépe plnit regulační požadavky, podpořit kontinuitu podnikání, udržet si důvěru zákazníků a snížit náklady na pozdější nápravu bezpečnostních problémů.
Obavy o bezpečnost dodavatelského řetězce softwaru
Pozornost věnovaná bezpečnosti dodavatelského řetězce softwaru je stále vysoká, a to z dobrého důvodu. Společnost Sonatype uvedla, že za poslední tři roky došlo k ohromujícímu průměrnému ročnímu nárůstu útoků na dodavatelský řetězec softwaru o 742 %. Abychom se zaměřili na konkrétní problémy dodavatelského řetězce, které manažerům IT nedávají spát, položili jsme respondentům našeho průzkumu řadu otázek týkajících se zabezpečení jejich dodavatelského řetězce softwaru v rámci Kubernetes, včetně toho, jaké incidenty je nejvíce znepokojují a zda se s nějakými v uplynulém roce setkali.
Zjištění odpovídají tomu, co by se dalo očekávat od rozsáhlých dodavatelských řetězců softwaru, které jsou příznačné pro kontejnerizované prostředí. Mezi tři nejčastější problémy patří zranitelné součásti aplikací (32 %), nedostatečná kontrola přístupu (30 %) a nedostatek informací o součástech softwaru (SBOM) a jejich původu (29 %).
Alarmující ale je, že více než polovina respondentů se setkala prakticky s každým problémem, který jsme v rámci našich otázek identifikovali, přičemž zranitelné komponenty aplikací a slabiny CI/CD procesů byly dva nejčastěji uváděné problémy, se kterými se respondenti setkali.
Dobrou zprávou je, že mnoho organizací činí kroky k lepšímu zabezpečení svých dodavatelských řetězců softwaru. Zabezpečení dodavatelského řetězce softwaru je složitý a mnohostranný problém, ale komplexní DevSecOps přístup je účinnou strategií. Téměř polovina respondentů už má iniciativu DevSecOps v pokročilé fázi, a dalších 39 % chápe hodnotu DevSecOps a je v počáteční fázi zavádění.
Zaměřením se na zabezpečení softwarových komponent a závislostí v rané fázi životního cyklu vývoje softwaru a využitím postupů DevSecOps k automatizaci integrace zabezpečení v každé fázi mohou organizace přejít od nekonzistentních, manuálních procesů ke konzistentním, opakovatelným a automatizovaným operacím. (20.4.2023)