L’adozione di tecnologie cloud-native come Kubernetes trasforma il modo in cui le organizzazioni sviluppano, distribuiscono e scalano le applicazioni. Cresce però la complessità e con essa aumentano gli attacchi informatici e la sicurezza di queste architetture diventa più critica. Se ne parla in The State of Kubernetes Security for 2024, la ricerca di Red Hat che analizza sfide, strategie e preoccupazioni legate alla sicurezza di Kubernetes e dei container.
Il rapporto si basa su un’indagine condotta su 600 professionisti IT che operano in ambito DevOps, ingegneri e specialisti della sicurezza di organizzazioni di diverse dimensioni e settori, worldwide. La raccolta dati è avvenuta attraverso interviste online e telefoniche eseguite tra dicembre 2023 e gennaio 2024 con i partecipanti scelti a rappresentare un ampio spettro di aziende che utilizzano container e Kubernetes, così da favorire una panoramica completa delle tendenze emergenti e delle sfide nel campo della sicurezza cloud-native.
Un primo orientamento tra i numeri: il 67% delle organizzazioni dichiara di aver ritardato o rallentato lo sviluppo delle applicazioni a causa delle preoccupazioni sulla sicurezza di Kubernetes, una percentuale che si può considerare elevata e che mostra la consapevolezza sul fatto che le questioni di sicurezza possono influenzare significativamente i risultati aziendali, portando a ritardi nei progetti e perdite finanziarie. Soprattutto, le violazioni della sicurezza dimostrano poi di avere impatti estesi e gravi, non solo per i dipartimenti finance, ma anche per l’HR con il licenziamento di dipendenti e perdite di ricavi o clienti. Più di un intervistato su quattro riferisce infatti di aver subito licenziamenti a causa di incidenti di sicurezza, mentre il 46% ha riportato perdite di ricavi o clienti.
Gli incidenti di sicurezza poi si verificano in tutte le fasi del ciclo di vita delle applicazioni, dalla fase di sviluppo fino al deployment e poi nel runtime. I numeri raccontano che quasi il 90% delle organizzazioni ha avuto almeno un incident di sicurezza legato ai container o a Kubernetes negli ultimi 12 mesi.
Poco meno di un intervistato su due (42%) afferma poi che la propria azienda non investe sufficientemente nella sicurezza dei container (vedi immagine sopra) o non affronta adeguatamente le relative minacce. Questo suggerisce la necessità di migliorare le strategie di cybersecurity per gestire efficacemente i rischi associati a questi ambienti, i cui vantaggi tuttavia sono indiscussi e riconosciuti dagli analisti.
A far pensare – proprio quando si parla di sicurezza – è anche il dato secondo il quale appena un terzo degli intervistati punta il dico contro i team cybersec ritenendo quello l’anello debole della sicurezza di Kubernetes. Piuttosto, la responsabilità viene distribuita tra vari ruoli, tra cui DevOps, DevSecOps e ingegneria della sicurezza.
Proprio le pratiche DevSecOps, integrate in molte organizzazioni, sono al centro dell’attenzione con il 42% degli intervistati che riferisce iniziative in questa direzione in fase avanzata e il 48% che ne indica l’adozione iniziale. Questo riflette un crescente riconoscimento dell‘importanza di integrare la sicurezza nel ciclo di vita dello sviluppo delle applicazioni, ma il 60% degli intervistati resta preoccupato per le vulnerabilità, le configurazioni errate e la possibile esposizione, con la condivisione delle risorse del sistema operativo tra container che introduce rischi significativi per cui sarebbero necessarie strategie di mitigazione efficaci.
Tra le preoccupazioni principali: errori di codifica, dati sensibili non protetti, sicurezza di rete inadeguata e malware non rilevati. Su questi punti, quindi, le organizzazioni stanno lavorando per ridurre questi rischi implementando misure di sicurezza personalizzate.
Intanto, più della metà delle organizzazioni ha rilevato l’esecuzione non autorizzata di processi nei propri ambienti, evidenziando il rischio di attacchi che possono compromettere l’integrità e la riservatezza dei dati. Le vulnerabilità software poi rappresentano il principale rischio per le catene di fornitura, con un incremento del 9% rispetto all’anno precedente e una gestione efficace dei rischi richiederebbe valutazioni rigorose dei fornitori e monitoraggio continuo delle dipendenze software.
In particolare, il 57% delle organizzazioni ha rilevato componenti applicativi vulnerabili nelle proprie catene di fornitura software negli ultimi 12 mesi, mentre gli strumenti avanzati di sicurezza, come le verifiche puntuali, la scansione delle vulnerabilità e i meccanismi di accesso e autenticazione, sarebbero fondamentali per mitigare i rischi e proteggere le catene di fornitura software. Tra gli strumenti per la sicurezza Kubernetes, il mondo open source presenta diverse possibili soluzioni: Open Policy Agent, Kube-bench e KubeLinter sono tra questi ampiamente utilizzati per semplificare la gestione delle policy, verificare la sicurezza delle distribuzioni Kubernetes e garantire la conformità alle best practice.
I container e Kubernetes accelerano lo sviluppo e la distribuzione delle applicazioni attraverso ambienti cloud ibridi serve però integrare processi e tecnologie focalizzati sulla sicurezza durante l’intero ciclo di vita così da proteggere le applicazioni senza rallentare lo sviluppo o aumentare la complessità operativa, salvaguardando i dati sensibili, la proprietà intellettuale e le informazioni dei clienti, nel rispetto dei requisiti normativi aziendali, industriali e governativi e preservando la continuità operativa così da conservare la fiducia e la sicurezza dei clienti.
Una via questa anche per abbattere i costi degli sforzi tardivi per rimediare i danni. I tre consigli principali per aumentare la sicurezza degli ambienti cloud-native sono utilizzare controlli di sicurezza nativi di Kubernetes, estendere la sicurezza lungo tutto il ciclo di vita delle applicazioni, comunque continuare nell’adozione degli strumenti che supportano le pratiche DevSecOps.
© RIPRODUZIONE RISERVATA