Niemal 9 na 10 firm na świecie doświadczyło w ubiegłym roku co najmniej jednego incydentu naruszenia bezpieczeństwa w środowisku Kubernetes – wynika z raportu Red Hat The state of Kubernetes security 2024. W dwóch przedsiębiorstwach na trzy (67 proc.) obawy związane z ochroną kontenerów spowodowały wydłużenie procesu wdrażania aplikacji.
Tymczasem, chociaż nacisk na zapewnienie bezpieczeństwa w całym cyklu rozwoju i utrzymywania aplikacji zyskuje na znaczeniu, firmy wciąż korzystają z praktyk DevSecOps rzadziej niż powinny, podkreśla Wojciech Furmankiewicz, dyrektor Red Hat ds. technologii i rozwiązań w regionie Europy Środkowo-Wschodniej.
W 2024 r. oparta na otwartym oprogramowaniu platforma Kubernetes (nazywana też K8s), obchodzi 10. rocznicę istnienia, przypomina Red Hat. To narzędzie do konteneryzacji aplikacji szybko okazało się przykładem rozwiązania rewolucjonizującego podejście do zarządzania infrastrukturą IT, skalowania systemów i rozwoju aplikacji tworzonych od razu z myślą o uruchamianiu w środowiskach chmurowych.
Pomimo rosnącej popularności Kubernetes, wiele przedsiębiorstw nadal ostrożnie podchodzi do tego rozwiązania. Dwóch na pięciu (42 proc.) respondentów wskazuje zapewnienie bezpieczeństwa jako główne wyzwanie przy wdrażaniu kontenerów i platformy K8s. Firmy obawiają się incydentów wynikających z naruszenia dostępu, luk w zabezpieczeniach czy błędnych konfiguracji, które mogą wystąpić na każdym etapie cyklu życia aplikacji.
Nie wszystkie incydenty bezpieczeństwa związane z Kubernetes dotyczyły już uruchomionych aplikacji. W 44 proc. firm problemy wynikające z poważnych luk w zabezpieczeniach zostały wykryte na etapie budowy i wdrażania narzędzi IT. Dwa na pięć podmiotów (40 proc.) zidentyfikowało błędne konfiguracje w środowiskach kontenerowych lub Kubernetes, a 26 proc. nie przeszło audytu bezpieczeństwa.
Prawie połowa respondentów (46 proc.) zwróciła uwagę, że naruszenie bezpieczeństwa doprowadziło w ich firmach do utraty klientów lub zmniejszenia przychodów. W niemal co trzecim przypadku (30 proc.) incydent zakończył się procesem sądowym lub nałożeniem grzywny na przedsiębiorstwo, a 26 proc. podmiotów musiało zwolnić pracownika.
W co drugiej badanej firmie (50 proc.) odpowiedzialność za ochronę Kubernetes jest podzielona między różne zespoły operacyjne, jak ITOps, DevOps czy DevSecOps, podczas gdy w 16 proc. firm spoczywa ona na deweloperze. Tylko w co trzeciej firmie (34 proc.) funkcjonuje specjalny zespół, który zajmuje się bezpieczeństwem kontenerów i Kubernetes. Ponad dwie trzecie firm (67 proc.) przyznaje, że spowolniły lub opóźniły proces rozwoju aplikacji z powodu rosnących obaw o bezpieczeństwo.
Z raportu Red Hat wynika również, że praktyki DevSecOps stają się coraz bardziej powszechne. Obecnie 42 proc. przedsiębiorstw wskazuje, że wdrożyło DevSecOps w zaawansowanej formie, integrując i automatyzując procesy bezpieczeństwa na wszystkich etapach cyklu życia aplikacji. Kolejne 48 proc. firm znajduje się na wczesnym etapie wdrażania tych praktyk. To wzrost o 9 punktów proc. względem ubiegłego roku.
Zapytane o największe ryzyka związane z bezpieczeństwem IT firmy wskazują błędy w kodzie oprogramowania (36 proc.), niewłaściwą ochronę wrażliwych danych (34 proc.) i słabe zabezpieczenia sieci (32 proc.), a także złośliwe oprogramowanie (32 proc.). Dwa przedsiębiorstwa na trzy (66 proc.) już prowadzą działania w celu minimalizacji zagrożeń. Obejmują one m.in. usuwanie nieużywanych komponentów, większą kontrolę nad przyznawaniem uprawnień oraz łatanie błędów w konfiguracji zabezpieczeń.
