Kubernetes è lo standard di fatto quando si tratta di orchestrazione e gestione dei container su scala, ma la sua adozione rappresenta solo un aspetto della strategia. La sicurezza, infatti, gioca un ruolo altrettanto fondamentale nell’utilizzo delle tecnologie cloud-native ed è in genere molto più complicata da affrontare rispetto alla semplice creazione ed esecuzione di container. Il report The State of Kubernetes Security for 2022 di Red Hat esamina le sfide di sicurezza legate allo sviluppo cloud-native e come le aziende le affrontano per proteggere applicazioni e ambienti IT.

Sicurezza in primo piano

Il report, che ha coinvolto oltre 300 professionisti DevOps, ingegneri e professionisti della sicurezza, ha evidenziato come le aziende stiano adottando container e Kubernetes pur mantenendo un equilibrio tra questi ambienti. Come negli anni precedenti, la sicurezza rimane una delle maggiori preoccupazioni legate all’adozione dei container. Le nuove tecnologie possono creare imprevisti quando vengono integrate negli ambienti IT tradizionali e i container presentano particolari complessità, dato che le esigenze di sicurezza si estendono a tutti gli aspetti del ciclo di vita delle applicazioni, dallo sviluppo alla distribuzione fino alla manutenzione. Il rapporto ha rilevato che le minacce e la mancanza di investimenti nella sicurezza dei container rappresentano la preoccupazione più comune per le strategie container per il 31% degli intervistati.

A conferma di questo c’è il 93% degli intervistati che ha sperimentato almeno un incidente di sicurezza nei propri ambienti Kubernetes negli ultimi 12 mesi, problema che ha portato alla perdita di fatturato o clienti. Più della metà degli intervistati (55%) ha anche dovuto ritardare il lancio di un’applicazione nell’ultimo anno a causa di problemi di sicurezza.

Nonostante si parli spesso dei cyberattacchi, il report sottolinea che in realtà sono le configurazioni errate a preoccupare particolarmente i professionisti IT. Kubernetes è come noto molto personalizzabile, e di conseguenza gli intervistati sono più preoccupati per le esposizioni dovute a configurazioni errate nei loro ambienti container e Kubernetes (46%) che per gli attacchi (16%). Automatizzare il più possibile la gestione della configurazione aiuta ad alleviare questi problemi.

DevSecOps in crescita

Meno di due anni fa, nell’autunno 2020, il report precedente aveva rilevato che il 40% degli intervistati stava iniziando a far collaborare i team DevOps e di sicurezza su policy e flussi di lavoro comuni. Negli ultimi due anni questo numero è aumentato considerevolmente e DevSecOps sta diventando rapidamente lo standard per le organizzazioni intervistate. La stragrande maggioranza degli intervistati di quest’anno (78%) ha dichiarato di avere un’iniziativa DevSecOps in fase iniziale o avanzata. Il 27% si annovera tra le organizzazioni più lungimiranti in materia di DevSecOps, con un’iniziativa DevSecOps in fase avanzata che prevede l’integrazione e l’automazione della sicurezza nell’intero ciclo di vita delle applicazioni.

La collaborazione tra i team Dev, Ops e Security per implementare la sicurezza fin dalle prime fasi del ciclo di vita dello sviluppo aiuta a realizzare il più grande vantaggio di Kubernetes: innovare velocemente. In passato, il ruolo della sicurezza era isolato a un team specifico nella fase finale dello sviluppo. Questo non era un problema quando i cicli duravano mesi o addirittura anni. Ma oggi la sicurezza deve essere integrata nei flussi di lavoro DevOps sin da subito.

In molti l’hanno compreso. All’interno dell’elevato numero di persone che stanno implementando DevSecOps, solo il 22% ha dichiarato di continuare a gestire DevOps separatamente dalla sicurezza e solo il 16% identifica il team centrale di sicurezza IT come responsabile della sicurezza di Kubernetes.

La sicurezza è stata a lungo considerata un inibitore dell’attività, soprattutto dagli sviluppatori e dai team DevOps il cui obiettivo principale è quello di consegnare il codice in tempi rapidi. Con i container e Kubernetes, la sicurezza dovrebbe diventare un acceleratore di business, aiutando gli sviluppatori a integrare controlli più forti nelle loro applicazioni fin dall’inizio.

Nonostante i potenziali problemi di sicurezza, i vantaggi dell’adozione di container e Kubernetes continuano a superare gli svantaggi. La chiave è cercare una piattaforma di sicurezza per container e Kubernetes che integri le best practice DevOps e i controlli interni e che valuti la sicurezza della configurazione di Kubernetes, in modo che gli sviluppatori possano concentrarsi sulla realizzazione delle funzionalità.