Niemal 9 na 10 firm na świecie doświadczyło w ub.r. co najmniej jednego incydentu naruszenia bezpieczeństwa w środowisku kubernetes – wynika z raportu Red Hata. W 67 proc. organizacji obawy związane z ochroną kontenerów spowodowały wydłużenie procesu wdrażania aplikacji.

Nie dziwi więc, że pomimo rosnącej popularności kubernetes, wiele przedsiębiorstw nadal ostrożnie podchodzi do tego rozwiązania.Dwa na pięć (42 proc.) wskazuje zapewnienie bezpieczeństwa jako główne wyzwanie.

W 44 proc. firm korzystających z kubernetes problemy wynikające z poważnych luk w zabezpieczeniach zostały wykryte na etapie budowy i wdrażania narzędzi IT, a 40 proc. zidentyfikowało błędne konfiguracje w środowiskach kontenerowych lub kubernetes.

Utrata klientów, przychodów i sprawa w sądzie

Prawie połowa respondentów (46 proc.) przyznaje, że naruszenie bezpieczeństwa doprowadziło w ich firmach do utraty klientów lub zmniejszenia przychodów. W 30 proc. przypadków incydent zakończył się procesem sądowym lub nałożeniem grzywny na przedsiębiorstwo.

Rozproszona odpowiedzialność

W co drugiej badanej firmie (50 proc.) odpowiedzialność za ochronę kubernetes jest podzielona między różne zespoły operacyjne, jak ITOps, DevOps czy DevSecOps, a w 16 proc. firm spoczywa na deweloperze.

Tylko w 34 proc. podmiotów funkcjonuje specjalny zespół, zajmujący się bezpieczeństwem kontenerów i kubernetes. Zdaniem 42 proc. ankietowanych ich firma nie przywiązuje należytej uwagi do tego, by skutecznie przeciwdziałać zagrożeniom dla bezpieczeństwa środowisk kontenerowych.

To przekłada się na niższe poczucie zaufania pracowników do nowych rozwiązań i wpływa na szybkość wdrażania nowych narzędzi IT. Już 67 proc. przyznaje, że spowolniły lub opóźniły proces rozwoju aplikacji z powodu rosnących obaw o bezpieczeństwo.

DevSecOps na fali

Z raportu Red Hata wynika, że praktyki DevSecOps stają się coraz bardziej powszechne – wdrożyło je 42 proc. przedsiębiorstw w zaawansowanej formie, tj. integrując i automatyzując procesy bezpieczeństwa na wszystkich etapach cyklu życia aplikacji. Kolejne 48 proc. jest na wczesnym etapie wdrażania tych praktyk.

To wzrost o 9 pkt proc. wobec ub.r., co świadczy o rosnącym zrozumieniu znaczenia współpracy między zespołami deweloperskimi, operacyjnymi i bezpieczeństwa.

Największe ryzyka

Zapytane o największe ryzyka związane z bezpieczeństwem IT firmy wskazują błędy w kodzie oprogramowania (36 proc.), niewłaściwą ochronę wrażliwych danych (34 proc.), słabe zabezpieczenia sieci (32 proc.) i złośliwe oprogramowanie (32 proc.). Wyzwania te wskazują na potrzebę wypracowania przez firmy kompleksowej strategii ochrony, która pozwoli szybciej identyfikować luki w zabezpieczeniach i lepiej chronić środowiska kontenerowe.

Dobra wiadomość jest taka, że 66 proc. przedsiębiorstw już prowadzi działania w celu minimalizacji zagrożeń. Obejmują one m.in. usuwanie nieużywanych komponentów, większą kontrolę nad przyznawaniem uprawnień i łatanie błędów w konfiguracji zabezpieczeń.

————————————

Badanie „The State of Kubernetes Security for 2024” zostało przeprowadzone przez Illuminas na zlecenie Red Hata w grudniu 2023 r. i styczniu 2024 r. z respondentami z USA, Wielkiej Brytanii i anglojęzycznych krajów regionu Azji i Pacyfiku (APAC). W badaniu uczestniczyło 600 specjalistów DevOps, inżynierów i ekspertów ds. bezpieczeństwa.