Konteneryzacja jest wciąż stosunkowo młodym mechanizmem wirtualizacji, ale stopień jej przyjmowania gwałtownie wzrósł w ciągu ostatnich kilku lat. Kubernetes stał się podstawą wielu inicjatyw z zakresu cyfrowej transformacji. Jednak firmy wciąż mają obawy dotyczące sposobów zabezpieczania kontenerów. Raport „The State of Kubernetes Security for 2023”, opublikowany przez firmę Red Hat, wskazuje konkretne zagrożenia, z jakimi stykają się przedsiębiorstwa przy rozwijaniu technik chmurowych (w tym zagrożenia dla łańcucha dostaw oprogramowania). Opisuje również sposoby ograniczania ryzyka, aby chronić aplikacje i środowiska IT.
Raport bazuje na badaniu przeprowadzonym wśród 600 specjalistów ds. bezpieczeństwa, DevOps i inżynierów z całego świata. Opisuje najczęstsze wyzwania związane z ochroną środowisk IT, które pojawiają się w trakcie wdrażania natywnych usług chmurowych oraz ich wpływ na działalność biznesową. Dokument zawiera również najlepsze praktyki i wskazówki dla zespołów zajmujących się rozwijaniem aplikacji i zapewnianiem bezpieczeństwa.
Najważniejsze wnioski raportu to:
- Według 38% respondentów inwestycje w bezpieczeństwo operacji w środowisku kontenerowym nie są wystarczające. To wzrost o 7 punktów procentowych w stosunku do roku 2022.
- 67% respondentów musiało spowolnić proces przyjmowania natywnych usług chmurowych (zaprojektowanych od podstaw do świadczenia tylko w tym środowisku) ze względu na obawy związane z bezpieczeństwem.
- Ponad połowa respondentów w ciągu ostatnich 12 miesięcy doświadczyła problemów z łańcuchem dostaw oprogramowania, związanego z rozwojem chmury i konteneryzacją.
Inwestycje nie idą w parze ze wzrostem liczby wdrożeń
Bezpieczeństwo pozostaje jednym z największych problemów związanych z przyjmowaniem kontenerów. Trend ten widoczny jest w badaniach już od kilku lat. W tegorocznej ankiecie 38% respondentów stwierdziło, że kwestie związane z ich ochroną nie są traktowane dostatecznie poważnie lub inwestycje w ten obszar są niewystarczające. To wzrost o 7 punktów procentowych w porównaniu z rokiem ubiegłym. Mimo, iż stopień przyjmowania konteneryzacji wciąż rośnie, nie idzie za nim podobny wzrost inwestycji w bezpieczeństwo.
Rozwiązania w chmurze wymagają odpowiednio dostosowanych do tego środowiska zabezpieczeń. Przy ich tworzeniu może być (a wręcz powinno) być stosowane podejście DevSecOps, czyli uwzględnianie aspektów bezpieczeństwa IT na możliwie najwcześniejszym etapie cyklu życia aplikacji, w tym integrowanie ich już podczas prac programistycznych. Zespoły IT muszą skupić się na wybieraniu i wdrażaniu takich narzędzi ochronnych, które dostarczają informacje zwrotne i zapewniają możliwość ich implementacji w ramach procesów ciągłej integracji oprogramowania (Continuous Integration, CI) oraz ciągłego dostarczania go użytkownikom (Continuous Delivery, CD). Przedsiębiorstwa powinny rozważyć rewizję swojego podejścia do tych zagadnień jako część procesu transformacji, zamiast polegać wyłącznie na istniejących rozwiązaniach wymagających znacznego dostosowania do wymagań natywnych usług chmurowych.
Jednym z najlepszych sposobów na likwidację luki adaptacyjnej jest inwestycja w narzędzia od początku zaprojektowane do pracy w chmurze, w które wbudowane zostały funkcje ochronne. Dzięki zabezpieczeniom zintegrowanym z danym rozwiązaniem (na każdym poziomie – od systemu operacyjnego do aplikacji), firmy nie muszą przeznaczać dodatkowych środków na dopasowanie rozwiązań ochronnych do własnego środowiska.
Ajmal Kohgadai, Senior Principal Product Manager, Red Hat
