Relatório de segurança do Kubernetes: cenário em evolução do DevSecOps

Administradores e arquitetos não são os únicos que se sentem incomodados se houver um problema de segurança no Kubernetes ou em um contêiner. Os microsserviços e as arquiteturas distribuídas baseadas em nuvem atuais oferecem os benefícios da resiliência e da escalabilidade, mas apresentam a contrapartida de uma tremenda interdependência.

Tudo é interdependente na nuvem, e construir software mais seguro dentro do Kubernetes não é apenas uma questão de manter uma imagem de sistema operacional atualizada e máquinas virtuais disponíveis. Os contêineres são feras diferentes e, com a velocidade que trazem ao ciclo de vida de desenvolvimento, desacelerar o fluxo de inovação com restrições e processos de segurança só irá irritar todos os envolvidos.

A segurança dos contêineres continua sendo uma das principais preocupações e desafios

O relatório de segurança do Kubernetes da Red Hat inclui respostas de 600 profissionais de TI que trabalham em empresas que usam contêineres Linux em produção. Mais da metade desses entrevistados trabalhava em empresas com mais de 1.000 funcionários. Assim, o relatório a seguir concentra-se fortemente no uso empresarial do Kubernetes em escala para cargas de trabalho e aplicativos empresariais.

As descobertas deste estudo mostram que os contêineres apresentam seus próprios desafios para desenvolvedores de aplicativos, profissionais de segurança e administradores de TI. Talvez seja por isso que 67% dos entrevistados disseram que atrasaram ou desaceleraram a implantação de aplicativos em produção devido a problemas de segurança com contêineres ou Kubernetes.

Apavorante? De acordo com os entrevistados, os atrasos na implantação podem ser o melhor cenário. Embora 53% dos entrevistados tenham dito que tiveram que adiar um projeto nos últimos 12 meses devido ao Kubernetes e a preocupações com a segurança dos contêineres, 46% disseram que perderam receitas ou mesmo clientes devido a essas preocupações. Pior ainda, 30% dos entrevistados tiveram de pagar multas ou enfrentaram ações legais devido a essas violações. Outros 26% tiveram que demitir um funcionário.

Falta de investimento

Por que isso está acontecendo? A segurança não é uma grande preocupação para todas as empresas do planeta? Por que o Kubernetes está apresentando um desafio aqui? Segundo 42% dos entrevistados, a razão é que suas empresas não lidam suficientemente com a segurança dos contêineres.

Esse número pode ser dividido em dois subgrupos: os 23% que sentem que as suas empresas não abordam suficientemente as ameaças à segurança dos contentores com as suas estratégias de segurança, e os 19% que sentem que os seus empregadores não estão a investir o suficiente no problema.

Esta questão estende-se ainda mais a muitas destas organizações do que simplesmente ao orçamento ou às arquitecturas. Quando questionados sobre quem era o maior responsável pelo Kubernetes e pela segurança de contêineres em suas organizações, apenas 34% dos entrevistados disseram que a responsabilidade é das equipes de segurança – restando mais de 50% para responder que a responsabilidade é das equipes de TI. Analisando esse número de forma mais completa, apenas 15% dos entrevistados colocaram o trabalho em suas equipes de DevSecOps. Outros 16% disseram que seus desenvolvedores eram responsáveis ​​pela segurança de contêineres e Kubernetes em suas organizações.

Com esse tipo de variação na forma como as equipes lidam com a segurança de contêineres e Kubernetes, não é surpreendente que a integração dessas tecnologias na pilha esteja causando atrasos e preocupações de segurança. A TI tradicional tem linhas de controle bastante claras para a maioria dos aspectos da operação, desde administradores de banco de dados até pessoal de segurança. E, no entanto, mais de metade dos participantes nesta pesquisa ainda não transferiram a responsabilidade pela segurança dos contentores e Kubernetes para as suas equipas de segurança.

As preocupações com a cadeia de suprimentos continuam

Naturalmente, a cadeia de fornecimento de software é uma grande parte do cenário de segurança das empresas, e a segurança de contêineres e Kubernetes também contribui para essa história.

Quarenta e quatro por cento dos entrevistados nesta pesquisa disseram que as vulnerabilidades de software são o aspecto de maior risco em suas cadeias de fornecimento de software. Isso representa um aumento de 9 pontos percentuais em relação à pesquisa do ano passado, um sinal claro de que a cadeia de fornecimento de software está se tornando uma parte mais proeminente do ciclo de vida de entrega de aplicativos.

Essa visão é reforçada pelo facto de 57% dos inquiridos que estão preocupados com componentes de aplicações vulneráveis ​​afirmaram que as suas organizações detectaram componentes de aplicações vulneráveis ​​na sua cadeia de fornecimento de software nos últimos 12 meses.

Uma conclusão interessante do relatório foi que quase todas as preocupações manifestadas pelos participantes no inquérito se baseavam na experiência real e não numa ameaça teórica. Por exemplo, embora coisas como “falta de lista de materiais de software (SBOMs)” e “falta de automação” tenham sido citadas como preocupações por 26% e 30% dos entrevistados, elas foram vivenciadas por 59% e 56% dos entrevistados, respectivamente .

Assim, alguns entrevistados encontraram formas de mitigar esses riscos. Quarenta e sete por cento citam atestados de segurança – como assinatura de imagem, assinatura de implantação e atestado de pipeline – como sendo o aspecto de segurança mais importante de uma cadeia de fornecimento de software. Outros 45% citam a verificação de vulnerabilidades como a ferramenta mais importante para a segurança da cadeia de fornecimento de software.

O relatório sobre o estado da segurança do Kubernetes, patrocinado pela Red Hat Advanced Cluster Security for Kubernetes 2024, está disponível gratuitamente aqui.

A postagem Relatório de segurança do Kubernetes: cenário em evolução do DevSecOps apareceu pela primeira vez em The New Stack.