Secondo uno studio di Red Hat, investimenti inadeguati e problemi nella supply chain del software rendono accidentato il percorso delle aziende per diventare cloud native. Nonostante Kubernetes sia ancora una tecnologia relativamente giovane, negli ultimi anni ha visto il suo tasso di adozione aumentare vertiginosamente. Poiché questa piattaforma per l’orchestrazione dei container è diventata il fondamento di molte iniziative di trasformazione digitale.
Diventare cloud native
Tuttavia, anche se le aziende si sono abituate a utilizzare questa tecnologia in produzione, permangono alcune preoccupazioni relative al modo migliore di proteggere i carichi di lavoro containerizzati. Il report The State of Kubernetes Security for 2023 di Red Hat analizza i rischi specifici per la sicurezza che le organizzazioni devono affrontare per quanto riguarda lo sviluppo cloud native. Compresi i rischi relativi alla catena di fornitura del software, e fornisce indicazioni su come mitigarli per proteggere le applicazioni e gli ambienti IT.
Cosa dice il rapporto
Il rapporto si basa su un sondaggio condotto su 600 tra professionisti DevOps, ingegneri e professionisti della sicurezza di tutto il mondo. Mette in luce alcune delle sfide di sicurezza più comuni che le organizzazioni devono affrontare nel percorso per diventare cloud native e l’impatto di tali sfide sul business. Il report illustra inoltre alcune best practice e fornisce indicazioni per i team di sviluppatori e di security per ridurre i rischi per la sicurezza.
Le principali evidenze di quest’anno
- Il 38% degli intervistati dichiara che gli investimenti sulla security per le operations containerizzate sono inadeguati, un dato in aumento del 7% rispetto al 2022.
- Il 67% degli intervistati ha dovuto rallentare il passaggio al cloud native a causa di problemi di sicurezza.
- Negli ultimi 12 mesi, più della metà degli intervistati ha riscontrato problemi legati alla supply chain del software e relativi allo sviluppo cloud native e containerizzato.
Gli investimenti non si riflettono nei livelli di adozione
Negli ultimi anni abbiamo notato che la security rimane una delle maggiori preoccupazioni per l’adozione dei container. Il sondaggio di quest’anno non ha smentito questo assunto. Il 38% degli intervistati ha dichiarato che la security non ha ancora acquisito la priorità corretta. Oppure che gli investimenti per la sicurezza sono inadeguati, in aumento del 7% rispetto all’anno scorso. L’aspetto interessante è che i tassi di adozione continuano a crescere. Questa crescita non è sempre seguita da un incremento in parallelo degli investimenti in sicurezza.
Cosa vuol dire per le aziende diventare cloud native
Le soluzioni cloud native richiedono soluzioni di sicurezza cloud native, che spesso possono (e devono) includere un approccio DevSecOps. I team IT devono concentrarsi sulla selezione e sull’implementazione di strumenti di sicurezza che forniscano feedback e guardrail nella pipeline delle applicazioni CI/CD e in quella dell’infrastruttura. Questa transizione deve essere considerata parte integrante delle iniziative di trasformazione delle imprese. Inltre deve essere pianificata di conseguenza, non limitandosi ad affidarsi semplicemente alle soluzioni esistenti. Esse spesso richiedono un adattamento o una modifica sostanziale per soddisfare i requisiti stringenti del cloud native computing.
Superare il divario tra investimento e adozione
Uno dei modi migliori per superare il divario tra investimenti e adozione è investire in strumenti che incorporino nativamente la security. Anziché trattarla come una componente aggiuntiva. Con la sicurezza integrata nella soluzione, dalle basi del sistema operativo fino al livello dell’applicazione, le organizzazioni non saranno costrette a ulteriori investimenti per adottare costantemente nuove soluzioni di security allineate alle ultime tecnologie.
I problemi di security ostacolano il raggiungimento dei risultati di business
Una delle ragioni principali per l’adozione di tecnologie cloud native è l’agilità che offre. Cioè tempi di commercializzazione più rapidi, adattabilità e affidabilità sono vantaggi tipici delle tecnologie cloud. Oltre che fattori chiave che spingono le aziende a trasformare digitalmente la propria infrastruttura IT. Ma questi benefici non sempre trovano effettiva realizzazione.
Secondo l’indagine il 67% degli intervistati ha dovuto ritardare o rallentare l’implementazione delle applicazioni a causa di problemi di sicurezza. Una problematica che non sorprende, dato che le nuove tecnologie creano spesso problemi di sicurezza imprevisti. Ma la security dovrebbe essere considerata come una componente integrante nell’adozione di una tecnologia di successo, non come un ostacolo o un danno per lo sviluppo.
Diventare cloud native, per le aziende un percorso accidentato
Un breve ritardo è spesso l’ultima delle preoccupazioni di un’organizzazione quando si tratta di incidenti di sicurezza cloud native. Tuttavia l’indagine indica che si potrebbero generare impatti sul business di considerevole gravità. Il 21% degli intervistati ha dichiarato che un incidente di security ha portato al licenziamento dei dipendenti. Il 25% ha dichiarato che l’organizzazione ha subito una sanzione.
Al di là dell’ impatto diretto, ciò potrebbe comportare la perdita di talenti, conoscenze ed esperienze preziose per l’organizzazione IT in generale. Inoltre, le aziende che si trovano a dover pagare multe a causa di violazioni della conformità o di violazioni dei dati devono affrontare oneri finanziari significativi. Per non parlare del risvolto in termini di reputazione.
Non perdere fatturato
Il 37% degli intervistati ha individuato la perdita di fatturato/clienti come conseguenza di un incidente di sicurezza legato a container e Kubernetes. Questi incidenti potrebbero ritardare progetti critici o rilasci di prodotti. In quanto le aziende devono dare priorità agli interventi di sicurezza per risolvere le vulnerabilità che sono state trascurate nella fase di sviluppo. Questo ritardo potrebbe avere un effetto a catena sull’azienda, con ulteriori perdite di fatturato, insoddisfazione dei clienti o perdita di quote di mercato a favore della concorrenza. Questo tipo di eventi può anche erodere la fiducia dei clienti nella capacità dell’azienda di proteggere i dati sensibili.
La sicurezza prima di tutto
Dando la giusta priorità alla sicurezza in una strategia cloud, le aziende investono nella protezione delle risorse aziendali, come dati sensibili, proprietà intellettuale e informazioni sui clienti. Inoltre, sono in grado di soddisfare meglio i requisiti normativi, di garantire la continuità aziendale. Oltre a mantenere la fiducia dei clienti e di ridurre i costi per rimediare ai problemi di sicurezza in un secondo momento.
Crescono le preoccupazioni per la sicurezza delle supply chain del software
L’attenzione per la sicurezza della catena di fornitura del software è ai massimi storici, e per una buona ragione. Sonatype ha riferito che negli ultimi 3 anni si è registrato un sorprendente aumento medio annuo del 742% degli attacchi alle supply chain del software. Per individuare in dettaglio i problemi che preoccupano i responsabili IT, abbiamo posto agli intervistati una serie di domande relative alla sicurezza della supply chain del software in Kubernetes. Su temi quali gli incidenti più preoccupanti e se ne hanno sperimentati nell’ultimo anno.
Quali i risultati del sondaggio
I risultati sono in linea con quanto ci si aspetterebbe da catene di fornitura di software molto estese, emblematiche di un ambiente containerizzato. Le tre principali preoccupazioni sono componenti applicativi vulnerabili (32%), controlli di accesso insufficienti (30%), mancanza di una distinta base del software (SBOM) o di una provenienza (29%).
Diventare cloud native, anche buone notizie
Ciò che è allarmante, tuttavia, è che più della metà degli intervistati ha riscontrato praticamente tutti i problemi identificati nella nostra domanda. La buona notizia è che molte organizzazioni stanno facendo passi avanti verso una migliore protezione delle loro catene di fornitura del software. Sebbene la sicurezza della supply chain software sia un campo complesso e sfaccettato, un approccio DevSecOps completo rappresenta una delle strategie più efficaci. Quasi la metà degli intervistati ha un’iniziativa DevSecOps in fase avanzata. Un altro 39% comprende il valore di DevSecOps e si trova nella fase iniziale di adozione.