Kubernetes es el estándar de facto cuando se trata de orquestación y gestión de contenedores a escala, pero la adopción es solo una pieza de la estrategia de Kubernetes. La seguridad desempeña un papel muy importante en la forma en que las organizaciones utilizan las tecnologías nativas de la nube, y su puesta en marcha suele ser mucho más compleja de abordar que la de los contenedores. El informe El Estado de la Seguridad de Kubernetes de 2022 de Red Hat evalúa los retos de seguridad a los que se enfrentan las organizaciones cuando se trata del desarrollo nativo de la nube y cómo abordan estos retos para proteger sus aplicaciones y entornos de TI.
El informe se basa en una encuesta realizada a más de 300 profesionales de DevOps, ingeniería y seguridad, y destaca cómo las empresas están adoptando contenedores y Kubernetes sin dejar de conciliar con la seguridad de estos entornos. Entre las principales conclusiones de este año, tenemos:
Índice de temas
Persiste la preocupación por la seguridad y provoca retrasos
Al igual que en años anteriores, la seguridad sigue siendo una de las mayores preocupaciones en torno a la adopción de contenedores. Las nuevas tecnologías pueden ocasionar retos de seguridad imprevistos cuando se integran en entornos de TI tradicionales, y los contenedores presentan complejidades particulares dado que sus necesidades de seguridad se extienden a todos los aspectos del ciclo de vida de la aplicación, desde el desarrollo hasta el despliegue y el mantenimiento. El informe revela que las preocupaciones en torno a las amenazas a la seguridad de los contenedores y la falta de inversión en la seguridad de los contenedores es la preocupación más común relacionada con las estrategias de contenedores para el 31% de los entrevistados.
El 93% ha experimentado al menos un incidente de seguridad en sus entornos Kubernetes en los últimos 12 meses, que en ocasiones ha provocado pérdidas de ingresos o de clientes. Más de la mitad de los encuestados (55%) también han tenido que retrasar el despliegue de una aplicación debido a problemas de seguridad en el último año.
El 22% de los profesionales informó de que opera con DevOps separado de la seguridad
Aunque puede parecer que los ciberataques son la principal preocupación de los profesionales de TI, ya que tienen una gran difusión mediática, lo que realmente les quita el sueño son los errores de configuración. Kubernetes es altamente personalizable, con varias opciones de configuración que pueden afectar a la estrategia de seguridad de una aplicación. Es por esta razón que los encuestados son los que más se preocupan por exposiciones debido a errores de configuración en sus entornos de contenedores y Kubernetes (46%), casi tres veces más que el nivel de preocupación que tienen por los ciberataques (16%). La automatización de la gestión de la configuración en la medida de lo posible ayuda a solventar estos problemas, de modo que las herramientas de seguridad -en lugar de los seres humanos- proporcionan las barreras que ayudan a los desarrolladores y a los equipos de DevOps a configurar los contenedores y Kubernetes de forma más segura.
DevSecOps se ha convertido en el estándar
Hace menos de dos años, el informe de otoño de 2020 de Red Hat reveló que el 40 % de los encuestados estaban empezando a hacer que los equipos de DevOps y Seguridad colaboraran en políticas y flujos de trabajo conjuntos. En los últimos dos años esa cifra ha aumentado considerablemente, y ahora DevSecOps se está convirtiendo rápidamente en el estándar de las organizaciones encuestadas. Una gran mayoría de los encuestados de este año (78%) declaró tener una iniciativa de DevSecOps en fase inicial o avanzada. Y el 27% de los encuestados se cuentan entre las organizaciones con más visión de futuro en lo que respecta a DevSecOps, con una iniciativa de DevSecOps avanzada, en la que están integrando y automatizando la seguridad en todo el ciclo de vida de las aplicaciones.
La colaboración entre los equipos de desarrollo, operaciones y seguridad para implantar la seguridad en una fase temprana del ciclo de vida del desarrollo ayuda a obtener el mayor beneficio de Kubernetes: innovar rápidamente. En el pasado, el papel de la seguridad se aislaba en un equipo específico en la fase final del desarrollo. Eso no era tan problemático cuando los ciclos de desarrollo duraban meses o incluso años. Con los rápidos ciclos de lanzamiento de hoy en día, la seguridad debe ser shift left e integrarse en los flujos de trabajo de DevOps en lugar de ” bolted on” cuando la aplicación está a punto de desplegarse en producción.
La buena noticia es que esto parece estar teniendo repercusión entre los encuestados. Además del elevado número de personas que están implementando DevSecOps, solo el 22% de los encuestados informó de que sigue operando con DevOps separado de la seguridad. Y solo el 16% de los encuestados identifica al equipo principal de seguridad de TI como responsable de la seguridad de Kubernetes.
Lograr una mejor seguridad a través de DevSecOps
La seguridad se ha visto durante mucho tiempo como un inhibidor del negocio, especialmente por parte de los desarrolladores y los equipos de DevOps cuyo objetivo principal es entregar el código rápidamente. Con los contenedores y Kubernetes, la seguridad debería convertirse en un acelerador del negocio al ayudar a los desarrolladores a crear controles de seguridad más sólidos en sus aplicaciones desde el principio.
A pesar de los posibles problemas de seguridad, los beneficios de la adopción de contenedores y Kubernetes siguen superando los inconvenientes. La clave es buscar una plataforma de seguridad de contenedores y Kubernetes que incorpore las mejores prácticas de DevOps y los controles internos como parte de sus comprobaciones de configuración. También debe evaluar la configuración de Kubernetes en sí para su postura de seguridad, de modo que los desarrolladores puedan centrarse en la entrega de características.