Poco prima di essere acquisita da Red Hat, principale fornitore mondiale di soluzioni open source, StackRox ha pubblicato per il consueto report State of Kubernetes Security.
Sono stati oltre 500 i DevOps intervistati per comprendere quali interventi e quali iniziative DevSecOps sono stati scelti da aziende ed IT manager per proteggere i loro ambienti cloud native.
Qui di seguito i principali risultati emersi.
La principale preoccupazione rimane la sicurezza
Tecnologie container e Kuberteines stanno diventando sempre più spesso la scelta di molte aziende, ma il potenziale innovativo di queste tecnologie viene ancora frenato dalle preoccupazioni relative alla sicurezza.
Oltre il 94% del campione ha dichiarato di aver avuto almeno un problema di sicurezza nei propri ambienti Kubernetes o container negli ultimi 12 mesi.
Non solo: il 55% ha affermato di essere stato costretto a ritardare, in fase di produzione, l’implementazione delle applicazioni Kubernetes proprio per motivi di sicurezza.
Un’altra causa molto citata a proposito di violazione di dati ed hack è l’errore umano.
Nell’ultimo anno c’è stato almeno un errore di configurazione nei propri ambienti per almeno il 60% degli intervistati.
Almeno due terzi del campione ha scoperto errori di runtime e gravi vulnerabilità.
Le configurazioni errate sono ciò che più preoccupa chi sceglie di adottare queste tecnologie: lo dichiara ben il 47% del campione; solo il 13% invece si dice preoccupato per eventuali attacchi esterni.
Per provare a superare questa importante criticità, la miglior soluzione auspicata è l’automatizzazione del processo di configurazione.
Per garantire maggiore sicurezza, si dovrebbero sviluppare automazioni che si sostituiscano agli esseri umani nei passaggi più delicati di configurazione.
L’approccio shifting left
I risultati del sondaggio evidenziano l’importanza di un nuovo approccio: i reparti IT, sviluppo e sicurezza dovrebbero collaborare fin dalle prime fasi, usando l’approccio shifting left.
Spostare a sinistra, shifting left: inserire quindi i controlli di sicurezza fin dagli albori del ciclo di vita dei sistemi è quello che serve per prevenire problemi in fasi successive.
Il 15% del campione intervistato individua gli sviluppatori, figure presenti nella prima fase del ciclo di vita, come veri responsabili della sicurezza di queste tecnologie.
Questi dati fanno emergere un’importante considerazione: per colmare le lacune e superare i problemi di sicurezza, serve il contributo di tutti.
Se container e strumenti di sicurezza Kubernetes agevolassero una stretta collaborazione tra sviluppatori, DevOps, team sicurezza ed operations, sarebbero certamente protette in modo più efficace.
L’adozione di soluzioni DevSecOps è la strategia più adottata: la stragrande maggioranza del campione ha integrato sistemi di sicurezza fin dalle prime fasi del ciclo di vita delle applicazioni.
Soltanto il 26% degli intervistati continua a gestire DevOps e sicurezza separatamente.
Investire ed uniformare
Ad oggi sono molte le organizzazioni che hanno scelto, con entusiasmo, di adottare tecnologie container e Kubernetes.
La principale preoccupazione è legata alla percezione che serva un intervento importante, anche in termini di investimento, per garantire la sicurezza di questi sistemi.
Questa percezione si è spesso tradotta in concreti ritardi nell’implementazione delle applicazioni.
Ancora una volta i dati rassicurano: le aziende con una strategia di sicurezza Kubernetes almeno di base sono il 67%; soltanto il 7% non ne ha nessuna.
Inserire nei piani di investimento aziendali specifiche risorse per soddisfare le esigenze di sicurezza e conformità dei container è ormai una necessità imprescindibile.
Come aumentare la sicurezza dei sistemi efficacemente?
Sfruttando le analisi, i ricchi dati dichiarativi, gli approfondimenti sui rischi di gestione della configurazione ed i controlli nativi di Kubernetes.
Uniformare l’utilizzo dell’infrastruttura e standardizzare l’attivazione dei controlli per lo sviluppo e la sicurezza, porterà ad analisi e percorsi sempre uguali, con una conseguente risoluzione più efficace dei problemi.
Comments are closed.