Niemal 9 na 10 firm na świecie doświadczyło w ubiegłym roku co najmniej jednego incydentu naruszenia bezpieczeństwa w środowisku Kubernetes – wynika z raportu Red Hat[1]. W dwóch przedsiębiorstwach na trzy (67%) obawy związane z ochroną kontenerów spowodowały wydłużenie procesu wdrażania aplikacji. Tymczasem, chociaż nacisk na zapewnienie bezpieczeństwa w całym cyklu rozwoju i utrzymywania aplikacji zyskuje na znaczeniu, firmy wciąż korzystają z praktyk DevSecOps rzadziej niż powinny.
W 2024 roku bazująca na otwartym oprogramowaniu platforma Kubernetes (nazywana też K8s), obchodzi 10. rocznicę istnienia. To narzędzie do konteneryzacji aplikacji szybko okazało się przykładem rozwiązania rewolucjonizującego podejście do zarządzania infrastrukturą IT, skalowania systemów i rozwoju aplikacji tworzonych od razu z myślą o uruchamianiu w środowiskach chmurowych.
Pomimo rosnącej popularności Kubernetes, wiele przedsiębiorstw nadal ostrożnie podchodzi do tego rozwiązania. Dwóch na pięciu (42%) respondentów wskazuje zapewnienie bezpieczeństwa jako główne wyzwanie przy wdrażaniu kontenerów i platformy K8s. Firmy obawiają się incydentów wynikających z naruszenia dostępu, luk w zabezpieczeniach czy błędnych konfiguracji, które mogą wystąpić na każdym etapie cyklu życia aplikacji.
Ten niepokój jest uzasadniony biorąc pod uwagę, że aż 89% badanych przez Red Hat doświadczyło w ciągu ostatniego roku przynajmniej jednego incydentu bezpieczeństwa związanego z Kubernetes. Nie wszystkie dotyczyły już uruchomionych aplikacji. W 44% firm problemy wynikające z poważnych luk w zabezpieczeniach zostały wykryte na etapie budowy i wdrażania narzędzi IT. Dwa na pięć podmiotów (40%) zidentyfikowało błędne konfiguracje w środowiskach kontenerowych lub Kubernetes, a 26% nie przeszło audytu bezpieczeństwa. 
Zagrożenie także dla wyników finansowych
Prawie połowa respondentów (46%) zwróciła uwagę, że naruszenie bezpieczeństwa doprowadziło w ich firmach do utraty klientów lub zmniejszenia przychodów. W niemal co trzecim przypadku (30%) incydent zakończył się procesem sądowym lub nałożeniem grzywny na przedsiębiorstwo, a 26% podmiotów musiało zwolnić pracownika. Ale kary finansowe i utrata pracowników to nie jedyne konsekwencje, na jakie narażone są firmy w razie wystąpienia incydentu bezpieczeństwa. Na szali jest również utrata zaufania klientów i partnerów, negatywny wizerunek w przestrzeni publicznej, a nawet spadek pozycji rynkowej na rzecz konkurencji.
Rozproszona odpowiedzialność nie daje poczucia bezpieczeństwa
W co drugiej badanej firmie (50%) odpowiedzialność za ochronę Kubernetes jest podzielona między różne zespoły operacyjne, jak ITOps, DevOps czy DevSecOps, podczas gdy w 16% firm spoczywa ona na deweloperze. Tylko w co trzeciej firmie (34%) funkcjonuje specjalny zespół, który zajmuje się bezpieczeństwem kontenerów i Kubernetes. Zdaniem czterech na dziesięciu (42%) ankietowanych ich firma nie przywiązuje należytej uwagi do tego, by skutecznie przeciwdziałać zagrożeniom dla bezpieczeństwa środowisk kontenerowych, w tym w niewystarczającym stopniu inwestuje w ochronę kontenerów (19% wskazań). To przekłada się na niższe poczucie zaufania pracowników do używanych rozwiązań, a także wpływa na szybkość wdrażania nowych narzędzi IT. Ponad dwie trzecie firm (67%) przyznaje, że spowolniły lub opóźniły proces rozwoju aplikacji z powodu rosnących obaw o bezpieczeństwo.
DevSecOps na fali wznoszącej
Z raportu Red Hat wynika również, że praktyki DevSecOps stają się coraz bardziej powszechne. Obecnie 42% przedsiębiorstw wskazuje, że wdrożyło DevSecOps w zaawansowanej formie, integrując i automatyzując procesy bezpieczeństwa na wszystkich etapach cyklu życia aplikacji. Kolejne 48% firm znajduje się na wczesnym etapie wdrażania tych praktyk. To wzrost o 9 punktów proc. względem ubiegłego roku, co świadczy o rosnącym zrozumieniu znaczenia współpracy między zespołami deweloperskimi, operacyjnymi i bezpieczeństwa.
Firmy aktywnie rozwiązują najważniejsze problemy
Zapytane o największe ryzyka związane z bezpieczeństwem IT firmy wskazują błędy w kodzie oprogramowania (36%), niewłaściwą ochronę wrażliwych danych (34%) i słabe zabezpieczenia sieci (32%), a także złośliwe oprogramowanie (32%). Wyzwania te unaoczniają potrzebę wypracowania przez firmy kompleksowej strategii ochrony, która pozwoli szybciej identyfikować luki w zabezpieczeniach i lepiej chronić środowiska kontenerowe przed cyberzagrożeniami. Dobra wiadomość jest taka, że dwa przedsiębiorstwa na trzy (66%) już prowadzą działania w celu minimalizacji zagrożeń. Obejmują one m.in. usuwanie nieużywanych komponentów, większą kontrolę nad przyznawaniem uprawnień oraz łatanie błędów w konfiguracji zabezpieczeń.
Więcej informacji o wynikach badania oraz wskazówki dotyczące bezpieczeństwa można znaleźć w raporcie pod adresem: www.redhat.com/en/resources/state-kubernetes-security-report-2024
Wojciech Furmankiewicz, dyrektor Red Hat ds. technologii i rozwiązań w regionie Europy Środkowo-Wschodniej
O raporcie:
Badanie „The State of Kubernetes Security for 2024” zostało przeprowadzone przez firmę badawczą Illuminas na zlecenie Red Hat. Celem badania było dostarczenie informacji o konkretnych zagrożeniach bezpieczeństwa, z którymi mierzą się przedsiębiorstwa korzystające ze środowisk Kubernetes, a także identyfikacja kroków podejmowanych w celu ich ograniczenia. Przeanalizowano również rodzaje i częstotliwość występowania incydentów bezpieczeństwa. Dane zebrano w grudniu 2023 i styczniu 2024 roku za pomocą wywiadów internetowych i telefonicznych przeprowadzanych z respondentami z USA, Wielkiej Brytanii oraz anglojęzycznych krajach regionu Azji i Pacyfiku (APAC). W badaniu uczestniczyło 600 specjalistów DevOps, inżynierów oraz ekspertów ds. bezpieczeństwa.
[1] Raport Red Hat „The state of Kubernetes security 2024”. Dostęp: The state of Kubernetes security report: 2024 edition (redhat.com).