Con il report The State of Kubernetes Security for 2022 Red Hat esamina le sfide di sicurezza legate allo sviluppo cloud-native. Nella ricerca anche come le aziende affrontano i problemi legati alla protezione di applicazioni e ambienti IT. Kubernetes è lo standard di fatto quando si tratta di orchestrazione e gestione dei container su scala, ma la sua adozione rappresenta solo un aspetto della strategia. La sicurezza, infatti, gioca un ruolo altrettanto fondamentale nell’utilizzo delle tecnologie cloud-native. Inoltre è in genere molto più complicata da affrontare rispetto alla creazione ed esecuzione di container. Il report si basa su interviste condotte su oltre 300 professionisti DevOps, ingegneri e professionisti della sicurezza. L’indagine mette in evidenza come le aziende stiano adottando container e Kubernetes pur mantenendo un equilibrio tra questi ambienti.
I problemi di sicurezza e le conseguenze
Come negli anni precedenti, la sicurezza rimane una delle maggiori preoccupazioni legate all’adozione dei container. Le nuove tecnologie possono creare imprevisti quando vengono integrate negli ambienti IT tradizionali. E i container presentano particolari complessità, dato che le esigenze di sicurezza si estendono a tutti gli aspetti del ciclo di vita delle applicazioni, dallo sviluppo alla distribuzione fino alla manutenzione. Il rapporto ha rilevato che le minacce e la mancanza di investimenti nella sicurezza dei container rappresentano la preoccupazione più comune per le strategie container per il 31% degli intervistati. A conferma il 93% degli intervistati ha sperimentato almeno un incidente di sicurezza nei propri ambienti Kubernetes negli ultimi 12 mesi. Problema che ha portato alla perdita di fatturato o clienti.
La sicurezza Kubernetes nel 2022
Più della metà degli intervistati (55%) ha anche dovuto ritardare il lancio di un’applicazione nell’ultimo anno a causa di problemi di sicurezza. Nonostante l’attenzione dei media per i cyberattacchi, il report sottolinea che in realtà sono le configurazioni errate a preoccupare particolarmente i professionisti IT. Kubernetes è molto personalizzabile. Di conseguenza, gli intervistati sono più preoccupati per le esposizioni dovute a configurazioni errate nei loro ambienti container e Kubernetes (46%) che per gli attacchi (16%). Automatizzare il più possibile la gestione della configurazione aiuta ad alleviare questi problemi.
Lo standard DevSecOps
Meno di due anni fa, nell’autunno 2020, il report ha rilevato che il 40% degli intervistati stava iniziando a far collaborare i team DevOps e di sicurezza su policy e flussi di lavoro comuni. Negli ultimi due anni questo numero è aumentato considerevolmente e DevSecOps sta diventando lo standard per gli intervistati. Il 78% degli intervistati di quest’anno ha dichiarato di avere un’iniziativa DevSecOps in fase iniziale o avanzata. Il 27% si annovera tra le organizzazioni più lungimiranti in materia di DevSecOps, con un’iniziativa DevSecOps in fase avanzata che prevede l’integrazione e l’automazione della sicurezza nell’intero ciclo di vita delle applicazioni. La collaborazione tra i team Dev, Ops e Security per implementare la sicurezza fin dalle prime fasi del ciclo di vita dello sviluppo aiuta a realizzare il più grande vantaggio di Kubernetes. Ovvero innovare velocemente. In passato, il ruolo della sicurezza era isolato a un team specifico nella fase finale dello sviluppo.
Migliora la sicurezza
Questo non era un problema quando i cicli duravano mesi o addirittura anni. Ma oggi la sicurezza deve essere integrata nei flussi di lavoro DevOps sin da subito. In molti l’hanno compreso. All’interno dell’elevato numero di persone che stanno implementando DevSecOps, solo il 22% ha dichiarato di continuare a gestire DevOps separatamente dalla sicurezza, il 16% identifica il team centrale di sicurezza IT come responsabile della sicurezza di Kubernetes. La sicurezza è stata a lungo considerata un inibitore dell’attività. In particolare dagli sviluppatori e dai team DevOps il cui obiettivo principale è quello di consegnare il codice in tempi rapidi.
Red Hat e lo stato della sicurezza Kubernetes nel 2022
Con i container e Kubernetes, la sicurezza dovrebbe diventare un acceleratore di business, aiutando gli sviluppatori a integrare controlli più forti nelle loro applicazioni fin dall’inizio. Nonostante i potenziali problemi di sicurezza, i vantaggi dell’adozione di container e Kubernetes continuano a superare gli svantaggi. La chiave è cercare una piattaforma di sicurezza per container e Kubernetes che integri le best practice DevOps e i controlli interni e che valuti la sicurezza della configurazione di Kubernetes. In questo modo gli sviluppatori possono concentrarsi sulla realizzazione delle funzionalità.