Kubernetes is de standaard geworden voor containerorkestratie en beheer. Naast de adoptie ervan speelt beveiliging een belangrijke rol bij het gebruik van cloud-native technologieën. In het State of Kubernetes Security 2022 rapport is onderzocht met welke beveiligingsuitdagingen organisaties te maken hebben en hoe ze hun IT-omgevingen beschermen met Kubernetes. We bespreken hier de belangrijkste uitkomsten.
De uitkomsten van het State of Kubernetes Security 2022 rapport zijn gebaseerd op enquêtes onder meer dan 300 DevOps-, engineering- en security-professionals. De focus lag op het gebruik van containers en Kubernetes en de rol van beveiliging hierbij. Het is niet verwonderlijk dat beveiliging, net als eerdere jaren, nog steeds een van de grootste zorgen blijft bij de adoptie van containers.
Security-automatisering als vangnet
Een nadeel van nieuwe technologieën is dat ze onvoorziene beveiligingsproblemen kunnen veroorzaken als worden geïntegreerd met traditionele IT-omgevingen. Containers zijn wat dat betreft een bijzonder complex probleem, omdat de beveiligingsuitdagingen gelden voor de hele levenscyclus van applicaties, van ontwikkeling tot implementatie en onderhoud. Uit het rapport blijkt dat 31 procent van de respondenten die zich zorgen maken over de beveiligingsrisico’s van containers het gebrek aan investeringen in container-security als belangrijkste zorg zien.
Dat die zorgen terecht zijn, blijkt uit het feit dat 93 procent van de respondenten in de afgelopen 12 maanden ten minste één beveiligingsincident in hun Kubernetes-omgevingen hebben meegemaakt, wat soms leidde tot inkomsten- of klantverlies. Meer dan de helft van de respondenten (55%) heeft in het afgelopen jaar ook de uitrol van een applicatie moeten uitstellen vanwege zorgen over de beveiliging.
Ondanks alle media-aandacht voor cyberaanvallen, benadrukt het rapport dat het eigenlijk vooral misconfiguraties zijn waar IT-professionals ‘s nachts wakker van liggen. Kubernetes is heel flexibel aanpasbaar, met verschillende configuratieopties die de beveiliging van een applicatie kunnen beïnvloeden. Respondenten maken zich dan ook de meeste zorgen over datalekken als gevolg van misconfiguraties in hun container- en Kubernetes-omgevingen (46%). Dit is bijna drie keer zoveel als hun zorgen over cyberaanvallen (16%). Deze problemen kunnen verlicht worden door het automatiseren van configuratiebeheer zoveel mogelijk te automatiseren. Beveiligingstools kunnen beter dan mensen het vangnet bieden dat ontwikkelaars en DevOps-teams nodig hebben om containers en Kubernetes veiliger te configureren.
DevSecOps is de nieuwe norm
Minder dan twee jaar geleden bleek uit dit onderzoek dat 40 procent van de respondenten DevOps- en beveiligingsteams liet samenwerken aan gedeelde policy’s en workflows. Dat is sindsdien aanzienlijk toegenomen. DevSecOps is inmiddels zelfs de standaard aan het worden voor onderzochte organisaties. Veruit de meeste respondenten (78%) zeggen dit jaar dat ze een DevSecOps-initiatief in een beginstadium of een vergevorderd stadium hebben. Van de respondenten rekent 27 procent zichzelf tot de meest vooruitstrevende organisaties als het gaat om DevSecOps, met een vergevorderd DevSecOps-initiatief waarin ze beveiliging en automatisering integreren in de gehele levenscyclus van applicaties.
Om de grootste voordelen te ervaren van Kubernetes is het belangrijk om samenwerking tussen Dev-, Ops- en Security-teams rond beveiliging vroeg in de ontwikkelingslevenscyclus te implementeren. In het verleden was beveiliging vaak enkel de taak van een specifiek team in de laatste fase van de ontwikkeling. Dat was geen groot probleem, omdat ontwikkelcycli destijds maanden of zelfs jaren duurden. Door de snelle release-cycli van vandaag, moet beveiliging naar links verschuiven op de tijdlijn. Het moet opgenomen worden in DevOps-workflows in plaats van toegevoegd te worden op het moment dat de applicatie bijna in productie wordt genomen.
Die gedachte blijkt te resoneren. Naast de hoge implementatiecijfers van DevSecOps zegt slechts 22 procent van de respondenten DevOps gescheiden te blijven doen van Security. En slechts 16 procent van de respondenten ziet het centrale IT-security team als de enige verantwoordelijke voor Kubernetes-beveiliging.
Betere beveiliging door DevSecOps
Beveiliging werd jarenlang vooral gezien als een zakelijke belemmering, vooral door ontwikkelaars en DevOps-teams. Hun belangrijkste doel is immers om snel code op te leveren. Door containers en Kubernetes te gebruiken, kan beveiliging echter zakelijke groei stimuleren. Deze technologie kan ontwikkelaars namelijk helpen om vanaf het begin sterkere beveiligingscontroles in hun applicaties te bouwen.
Ondanks potentiële zorgen over de beveiliging blijken de voordelen van containers en Kubernetes toch groter dan de nadelen. Het belangrijkste advies uit het rapport is dat het belangrijk is een beveiligingsplatform te vinden voor containers en Kubernetes waarin best practices rond DevOps en interne controles onderdeel van zijn configuratiecontroles. Ook moet het platform in staat zijn de configuratie van Kubernetes zelf te beoordelen op beveiliging. Dan kunnen ontwikkelaars zich volledig richten op het leveren van functionaliteit, zonder zich zorgen te hoeven maken over de beveiliging.
Dit is een ingezonden bijdrage van Red Hat. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
2 dagen geleden
