Kubernetes parece ser una pesadilla de seguridad porque es muy complejo de usar, y las personas encargadas de usarlo están luchando para sobrellevarlo, según un informe de Red Hat.
La empresa encuestó a 300 profesionales de DevOps, ingeniería y seguridad para el artículo y descubrió que el 55 % pospuso el lanzamiento de una aplicación por motivos de seguridad.
Casi todos (93 %) han tenido al menos un incidente de seguridad en su entorno de Kubernetes en los últimos 12 meses, y un tercio (31 %) sufrió pérdida de ingresos o pérdida de clientes.
Configuraciones incorrectas
“Kubernetes y los contenedores, si bien son potentes, se diseñaron para la productividad de los desarrolladores, no necesariamente para la seguridad”, dice el informe. “La configuración de red predeterminada de pod a pod, por ejemplo, permite una comunicación abierta para poner en marcha rápidamente un clúster, a expensas del fortalecimiento de la seguridad”.
Los entornos complejos dan lugar a errores de configuración, y los errores de configuración dan lugar a incidentes de seguridad en los endpoints.
“A pesar de la amplia atención de los medios sobre los ataques cibernéticos, el informe destaca que en realidad son las configuraciones incorrectas las que mantienen a los profesionales de TI despiertos por la noche”, dijo Ajmal Kohgadai, gerente de marketing de productos de Red Hat.
“Kubernetes es altamente personalizable, con varias opciones de configuración que pueden afectar la postura de seguridad de una aplicación. En consecuencia, los encuestados se preocupan más por las exposiciones debido a configuraciones incorrectas en su contenedor y entornos de Kubernetes (46 %), casi tres veces el nivel de preocupación por los ataques ( dieciséis%).”
Sin embargo, apenas daña la imagen o la popularidad de Kubernetes. El software de orquestación de contenedores de código abierto está siendo utilizado o considerado por el 96% de las organizaciones, según el informe de Cloud Native Computing Foundation del año pasado.
Red Hat busca abordar el problema del error humano minimizando la interacción humana a través de la automatización y, con ese fin, adquirió StackRox el año pasado. “El proyecto StackRox tiene como objetivo ayudar a simplificar DevSecOps al integrar capacidades de seguridad dentro del ciclo de vida de desarrollo e implementación, cambiando efectivamente la seguridad de la aplicación “hacia la izquierda” en la creación de software”, dijo la compañía en ese momento.
Vía: El Registro