Poco prima di essere acquisita da Red Hat, principale fornitore mondiale di soluzioni open source, StackRox ha pubblicato per il consueto report State of Kubernetes Security. 

Sono stati oltre 500 i DevOps intervistati per comprendere quali interventi e quali iniziative DevSecOps sono stati scelti da aziende ed IT manager per proteggere i loro ambienti cloud native. 

Qui di seguito i principali risultati emersi. 

La principale preoccupazione rimane la sicurezza 

Tecnologie container e Kuberteines stanno diventando sempre più spesso la scelta di molte aziende, ma il potenziale innovativo di queste tecnologie viene ancora frenato dalle preoccupazioni relative alla sicurezza. 

Oltre il 94% del campione ha dichiarato di aver avuto almeno un problema di sicurezza nei propri ambienti Kubernetes o container negli ultimi 12 mesi. 

Non solo:  il 55%  ha affermato di essere stato costretto a ritardare, in fase di produzione, l’implementazione delle applicazioni Kubernetes proprio per motivi di sicurezza. 

Un’altra causa molto citata a proposito di violazione di dati ed hack è l’errore umano. 

Nell’ultimo anno c’è stato almeno un errore di configurazione nei propri ambienti per almeno il 60% degli intervistati. 

Almeno due terzi del campione ha scoperto errori di runtime e gravi vulnerabilità. 

Le configurazioni errate sono ciò che più preoccupa chi sceglie di adottare queste tecnologie: lo dichiara ben il 47% del campione; solo il 13% invece si dice preoccupato per eventuali attacchi esterni. 

Per provare a superare questa importante criticità, la miglior soluzione auspicata è l’automatizzazione del processo di configurazione

Per garantire maggiore sicurezza, si dovrebbero sviluppare automazioni che si sostituiscano agli esseri umani nei passaggi più delicati di configurazione. 

L’approccio shifting left 

I risultati del sondaggio evidenziano l’importanza di un nuovo approccio: i reparti IT, sviluppo e sicurezza dovrebbero collaborare fin dalle prime fasi, usando l’approccio shifting left. 

Spostare a sinistra, shifting left: inserire quindi i controlli di sicurezza fin dagli albori del ciclo di vita dei sistemi è quello che serve per prevenire problemi in fasi successive. 

Il 15% del campione intervistato  individua gli sviluppatori, figure presenti nella prima fase del ciclo di vita, come veri responsabili della sicurezza di queste tecnologie. 

Questi dati fanno emergere un’importante considerazione: per colmare le lacune e superare i problemi di sicurezza, serve il contributo di tutti. 

Se container e strumenti di sicurezza Kubernetes agevolassero una stretta collaborazione tra sviluppatori, DevOps, team sicurezza ed operations, sarebbero certamente protette in modo più efficace. 

L’adozione di soluzioni DevSecOps è  la strategia più adottata: la stragrande maggioranza del campione ha integrato sistemi di sicurezza fin dalle prime fasi del ciclo di vita delle applicazioni. 

Soltanto il 26% degli intervistati continua a gestire DevOps e sicurezza separatamente. 

Investire ed uniformare 

Ad oggi sono molte le organizzazioni che hanno scelto, con entusiasmo, di adottare tecnologie container e Kubernetes. 

La principale preoccupazione è legata alla percezione che serva un intervento importante, anche in termini di investimento, per garantire la sicurezza di questi sistemi. 

Questa percezione si è spesso tradotta in concreti ritardi nell’implementazione delle applicazioni. 

Ancora una volta i dati rassicurano: le aziende con una strategia di sicurezza Kubernetes almeno di base sono il 67%; soltanto il 7% non ne ha nessuna. 

Inserire nei piani di investimento aziendali specifiche risorse per soddisfare le esigenze di sicurezza e conformità dei container è ormai una necessità imprescindibile. 

Come aumentare la sicurezza dei sistemi efficacemente? 

Sfruttando le analisi, i ricchi dati dichiarativi, gli approfondimenti sui rischi di gestione della configurazione ed i controlli nativi di Kubernetes. 

Uniformare l’utilizzo dell’infrastruttura e standardizzare  l’attivazione dei controlli per lo sviluppo e la sicurezza, porterà ad analisi e percorsi sempre uguali, con una conseguente risoluzione più efficace dei problemi. 

Da non perdere

Comments are closed.