La encuesta revela que el uso de Kubernetes se ha disparado, pero persisten las preocupaciones de seguridad
Los contenedores se han convertido en una tecnología popular para las empresas que necesitan crear aplicaciones ágiles, escalables y confiables. A medida que trasladan las cargas de trabajo en contenedores a producción, muchos adoptan Kubernetes para la orquestación de contenedores. Si bien la contenedorización permite que DevOps implemente software de manera rápida y eficiente, también crea nuevos desafíos de seguridad, especialmente para aquellos que han acelerado la implementación de esta tecnología compleja.
El sistema Kubernetes ha ganado popularidad en los últimos años y el ritmo no se ha detenido. Recientemente, la adopción creció casi un 50 por ciento en un lapso de solo seis meses, según nuestro encuesta publicada recientemente de casi 400 profesionales de TI. La encuesta, titulada «El estado de la seguridad de contenedores y Kubernetes», encontró que el 86 por ciento de los encuestados usa Kubernetes, en comparación con el 57 por ciento a fines de 2018.
A pesar de que todos los principales proveedores de la nube ofrecen un servicio de Kubernetes gestionado, una gran parte de los encuestados autogestionan sus clústeres de Kubernetes. Es probable que esto se deba a que brinda a las organizaciones flexibilidad adicional para migrar fácilmente su entorno a una plataforma diferente.
El sólido crecimiento de Kubernetes refleja la rápida adopción de aplicaciones en contenedores en general. La tecnología se ha generalizado y los desarrolladores e ingenieros están encontrando nuevas formas de usarla. Estimaciones de Gartner que para 2022, más del 75 % de las organizaciones ejecutarán aplicaciones en contenedores en producción, en comparación con solo el 30 % en la actualidad. Sin embargo, a pesar de una madurez creciente en muchos aspectos de las cargas de trabajo en contenedores, las organizaciones no están logrando los mismos avances en sus enfoques de seguridad. Y ahora que muchos desarrolladores de aplicaciones ejecutan contenedores a escala, los problemas de seguridad solo aumentarán.
Crecientes preocupaciones de seguridad
Nuestra encuesta encontró que la seguridad sigue siendo la principal preocupación para los profesionales de TI cuyas organizaciones tienen una estrategia de contenedores. Además, la preocupación va en aumento: el 40 % de los encuestados dijo que su empresa no invirtió adecuadamente en la seguridad de los contenedores, en comparación con el 35 % en una encuesta similar seis meses antes. Aún más preocupante es que algunas organizaciones ni siquiera se toman en serio las amenazas a la seguridad.
El tiempo de ejecución, como era de esperar, mantiene su liderazgo como la etapa del ciclo de vida que es la más preocupante, mientras que las configuraciones incorrectas se consideran el mayor y creciente riesgo. La seguridad en tiempo de ejecución es crítica ya que las amenazas ocurren en tiempo real y esto tiene implicaciones para todo el entorno de TI. Por ejemplo, un contenedor comprometido por un proceso malicioso puede ejecutar otro proceso, como el escaneo de puertos, que pone en riesgo la red empresarial.
Uno de los muchos Desafíos de seguridad de contenedores y Kubernetes se deriva del hecho de que los contenedores se ejecutan en todas partes (la gran mayoría ejecuta contenedores en las instalaciones y en una o, a veces, varias nubes), lo que significa que hay más superficie de ataque a considerar. Si bien el modelo híbrido es el más frecuente, algunas organizaciones todavía los ejecutan solo en las instalaciones y otras utilizan cada vez más la nube. Para sorpresa de nadie, nuestra encuesta encontró que AWS de Amazon domina el mercado, con Azure de Microsoft en un distante segundo lugar. Independientemente de la plataforma, Kubernetes es el orquestador más utilizado y se está volviendo cada vez más popular.
El ascenso de DevSecOps
A medida que las organizaciones maduran en su estrategia de contenedores, comprenden que la seguridad debe ser una prioridad durante todo el ciclo de vida. Para pasar de la seguridad como una ocurrencia tardía a la seguridad integrada, muchos están implementando una Mentalidad de DevSecOps. En lugar de que el equipo de seguridad llegue al final del ciclo de desarrollo, la colaboración entre DevOps y la seguridad crea un entorno más ágil y convierte la seguridad en una función nativa.
El estilo predominante de «cascada» de desarrollo y prueba de software antes de entregarlo al equipo de seguridad va en contra del enfoque DevOps de integraciones continuas y entrega continua. Los contenedores pueden ayudar a DevOps y la seguridad a alinearse orgánicamente al agregar seguridad continua a la combinación. Los profesionales de TI encuestados para «El estado de la seguridad de los contenedores y Kubernetes» están de acuerdo: más del 60 % dijo que los contenedores aumentaron la cooperación entre los equipos de seguridad y DevOps.
La encuesta también encontró un aumento del 24 % al 31 % en el número de personas que sintieron que DevSecOps debería ser responsable de operar una plataforma de seguridad de contenedores. Esto indica que los profesionales de TI están reconociendo el valor de una colaboración más estrecha entre las dos partes.
Mirando hacia el futuro: un cambio en la cultura
Las organizaciones que usan aplicaciones en contenedores podrían beneficiarse enormemente de una cultura DevSecOps porque les permite adaptarse al nuevo y dinámico panorama. La seguridad integrada simplemente no se mantiene al día con este entorno. Así como DevOps «se desplaza hacia la izquierda» para centrarse en la calidad y prevenir problemas en lugar de resolverlos después del hecho, DevSecOps consiste en desplazarse hacia la izquierda para agregar seguridad al código en lugar de agregarlo encima.
La contenerización llegó para quedarse. A medida que más empresas pasen a producción, su sólida adopción de Kubernetes continuará. Pero no pueden darse el lujo de dejar la seguridad como una idea de último momento. Como cualquier otra tecnología, Kubernetes es vulnerable, lo que significa que los actores de amenazas encontrarán formas de explotarlo, y ya hemos visto que eso sucede.
Los contenedores se han convertido en una solución para varios problemas de desarrollo de aplicaciones, incluida la capacidad de ejecutar aplicaciones de manera confiable cuando se mueven entre entornos. ¿Por qué, entonces, invitar a nuevos problemas al no integrar una seguridad confiable? Sin incluir la seguridad de los contenedores en todo el ciclo de vida (construcción, implementación y tiempo de ejecución), las organizaciones están reduciendo los beneficios de la agilidad y la flexibilidad al crear nuevos riesgos de seguridad.
Para que SecDevOps funcione, las organizaciones necesitan herramientas de seguridad, flujos de trabajo y procesos que unen las dos funciones. Esto requiere una inversión consciente, junto con una estrategia revisada.