Z jakimi cyberzagrożeniami mierzą się firmy korzystające z Kubernetes?

Niemal 9 na 10 organizacji na świecie doświadczyło w ubiegłym roku co najmniej jednego incydentu naruszenia bezpieczeństwa w środowisku Kubernetes – tak wynika z raportu Red Hat pt. „The state of Kubernetes security 2024”. W 67% organizacji obawy związane z ochroną kontenerów spowodowały wydłużenie procesu wdrażania aplikacji. Wciąż także firmy korzystają z praktyk DevSecOps rzadziej niż powinny.

Pomimo rosnącej popularności platformy Kubernetes – która obchodzi właśnie 10. rocznicę istnienia – wiele przedsiębiorstw nadal ostrożnie podchodzi do tego rozwiązania. Dwóch na pięciu (42%) respondentów wskazuje zapewnienie bezpieczeństwa jako główne wyzwanie przy wdrażaniu kontenerów i platformy. Firmy obawiają się incydentów wynikających z naruszenia dostępu, luk w zabezpieczeniach czy błędnych konfiguracji, które mogą wystąpić na każdym etapie cyklu życia aplikacji.

Niepokój ten jest uzasadniony, biorąc pod uwagę że aż 89% badanych doświadczyło w ciągu ostatniego roku przynajmniej jednego incydentu związanego z Kubernetes. Nie wszystkie dotyczyły uruchomionych już aplikacji. W 44% firm problemy wynikające z poważnych luk w zabezpieczeniach wykryto na etapie budowy i wdrażania narzędzi IT. Dwa na pięć podmiotów (40%) zidentyfikowało błędne konfiguracje w środowiskach kontenerowych lub Kubernetes. Z kolei 26% nie przeszło audytu bezpieczeństwa.

46% respondentów zwróciło uwagę, że naruszenie bezpieczeństwa doprowadziło w ich firmach do utraty klientów lub zmniejszenia przychodów. W niemal co trzecim przypadku (30%) incydent zakończył się procesem sądowym lub nałożeniem grzywny na przedsiębiorstwo. Z kolei 26% ankietowanych podmiotów zwolniło pracownika. Ale kary finansowe i utrata pracowników to nie jedyne konsekwencje, na jakie narażone są firmy. Na szali jest również utrata zaufania klientów i partnerów czy negatywny wizerunek w przestrzeni publicznej. A nawet spadek pozycji rynkowej na rzecz konkurencji.

Rozproszona odpowiedzialność nie daje poczucia bezpieczeństwa

W co drugiej badanej firmie odpowiedzialność za ochronę Kubernetes podzielona jest między różne zespoły operacyjne. Takie jak ITOps, DevOps czy DevSecOps. Podczas gdy w 16% firm spoczywa ona na deweloperze. Tylko w co trzeciej firmie (34%) funkcjonuje specjalny zespół, który zajmuje się bezpieczeństwem kontenerów i Kubernetes.

Zdaniem 42% ankietowanych ich firma nie przywiązuje należytej uwagi do tego, by skutecznie przeciwdziałać zagrożeniom dla bezpieczeństwa środowisk kontenerowych. W tym w niewystarczającym stopniu inwestuje w ochronę kontenerów (19% wskazań). To przekłada się na niższe poczucie zaufania pracowników do używanych rozwiązań. Wpływa także na szybkość wdrażania nowych narzędzi IT. Ponad dwie trzecie firm (67%) przyznaje, że spowolniły lub opóźniły proces rozwoju aplikacji z powodu rosnących obaw o bezpieczeństwo.

DevSecOps na fali wznoszącej

Z raportu wynika również, że praktyki DevSecOps stają się coraz bardziej powszechne. Obecnie 42% przedsiębiorstw wskazuje, że wdrożyło DevSecOps w zaawansowanej formie, integrując i automatyzując procesy bezpieczeństwa na wszystkich etapach cyklu życia aplikacji. Kolejne 48% firm znajduje się na wczesnym etapie wdrażania tych praktyk. To wzrost o 9% względem ubiegłego roku. Świadczy to o rosnącym zrozumieniu znaczenia współpracy między zespołami deweloperskimi, operacyjnymi i bezpieczeństwa.

Zapytane o największe ryzyka związane z bezpieczeństwem IT firmy wskazują:

• błędy w kodzie oprogramowania (36%),
• niewłaściwą ochronę wrażliwych danych (34%),
• słabe zabezpieczenia sieci (32%),
• złośliwe oprogramowanie (32%).

Wyzwania te unaoczniają potrzebę wypracowania przez firmy kompleksowej strategii ochrony, która pozwoli szybciej identyfikować luki w zabezpieczeniach i lepiej chronić środowiska kontenerowe przed cyberzagrożeniami. Na szczęście 66% przedsiębiorstw prowadzi już działania w celu minimalizacji zagrożeń. Obejmują one m.in.: usuwanie nieużywanych komponentów, większą kontrolę nad przyznawaniem uprawnień oraz łatanie błędów w konfiguracji zabezpieczeń.

Badanie „The State of Kubernetes Security for 2024” przeprowadziła firma badawcza Illuminas na zlecenie Red Hat. Dane zebrano w grudniu 2023 i styczniu 2024 roku za pomocą wywiadów internetowych i telefonicznych przeprowadzanych z respondentami z USA, Wielkiej Brytanii oraz anglojęzycznych krajach regionu Azji i Pacyfiku (APAC). W badaniu uczestniczyło 600 specjalistów DevOps, inżynierów oraz ekspertów ds. bezpieczeństwa. Więcej informacji o wynikach badania można znaleźć w raporcie pod poniższym linkiem.