Acaba de sair a nova edição da Pesquisa Estado de Segurança de Kubernetes, tecnologia criada em código aberto que permite o gerenciamento de cargas de trabalho e automação de processos de maneira assertiva e dinâmica.
Apesar de ser um recurso relativamente recente, a taxa de adoção de ferramentas utilizadas no gerenciamento de contêineres disparou nos últimos anos, uma vez que a plataforma de gestão se tornou indispensável para a transformação digital de empresas.
Para entender quais são os potenciais riscos ligados ao desenvolvimento de softwares em nuvem, a Red Hat, líder global de soluções open source, ouviu tomadores de decisões em todo mundo e compilou suas conclusões no mais novo relatório Estado da Segurança do Kubernetes 2023.
No total, foram ouvidos 600 representantes de grandes empresas que revelaram alguns dos desafios de segurança mais comuns que suas organizações enfrentam ao longo da jornada de adoção de tecnologias cloud e o impacto em seus negócios. O relatório também fornece as melhores práticas para desenvolvimento de aplicações e orienta equipes para o tema de cibersegurança, uma das principais, senão a fundamental temática na modernização e expansão das atividades de TI.
Este ano, alguns dados chamaram a atenção dos pesquisadores, como:
- 38% dos respondentes dizem que o investimento na segurança de operações em contêineres está inadequado, 7% a mais que em 2022.
- 67% tiveram que desacelerar a adoção de tecnologias nativas em nuvem devido a preocupações com a segurança.
- Mais da metade dos respondentes tiveram problemas com a cadeia de fornecimento de software devido ao desenvolvimento nativo em nuvem e contêineres nos últimos 12 meses.
O investimento não acompanha a adoção
Nos últimos anos, a segurança tem sido uma das maiores preocupações para a adoção de contêineres. Na pesquisa deste ano não foi diferente, com 38% dos respondentes dizendo que a segurança não é suficientemente levada a sério ou que o investimento de segurança é inadequado na atual conjuntura — alta de 7% frente à comparação anual. O interessante desse dado é que apesar dessa falta de amparo cibernético, as taxas de adoção de kubernetes continuam crescendo.
Em outras palavras, soluções nativas da nuvem exigem recursos de segurança próprios do ambiente que podem (e devem) incluir uma abordagem DevSecOps. Nessa toada, equipes de TI precisam se concentrar em escolher e implementar ferramentas de segurança que forneçam feedback e proteções no pipeline de aplicações CI/CD, bem como no pipeline de infraestrutura. Não à toa, segundo o levantamento deste ano, organizações precisam planejar essa transição como parte de suas iniciativas de transformação e não apenas confiar nas soluções existentes, que muitas vezes exigem adaptação ou ajuste substancial para atender às exigências do cloud computing.
Uma das melhores maneiras de superar a lacuna de investimento e adoção empresarial é investir em ferramentas nativas da nuvem com segurança acoplada que poderá ser acionada em qualquer momento. Com a integração desse recurso, que idealmente ocorre desde a base operacional até o nível de aplicação, empresas não precisam mais contingenciar investimentos e beneficiam-se de soluções alinhadas com o que tem mais moderno no mercado.
Preocupações com a segurança atrasam resultados de negócios
Um dos principais motivos para adotar tecnologias nativas da nuvem é a agilidade que elas oferecem à estrutura organizacional. Rapidez para lançar produtos no mercado, adaptabilidade e confiabilidade de uso são alguns dos benefícios que essas soluções proporcionam. Por outro lado, aponta a pesquisa, nem sempre essas vantagens são percebidas dentro das companhias.
Dos entrevistados, 67% tiveram que atrasar ou desacelerar a implantação de aplicações devido a questionamentos de segurança e eficácia dos recursos. O dado não chega a ser surpreendente, visto que as novas tecnologias geralmente criam desafios inesperados. Dessa forma, a prevenção de ameaças e problemas ao longo prazo deve ser vista como um componente da adoção de tecnologia bem-sucedida, e não como um bloqueio para o desenvolvimento nativo da nuvem.
Pequenos atrasos costumam ser a menor das preocupações de uma organização quando se trata de incidentes de segurança, a partir de dados que indicam a possibilidade de impactos ainda mais graves nos negócios. 21% dos entrevistados disseram que um incidente de segurança levou à demissão de funcionários e 25% contaram que a organização foi multada devido a essa imprudência. Além do óbvio impacto relacionado aos problemas de credibilidade no mercado, essas negligências podem ocasionar na perda de talentos, conhecimento e experiência valiosos para a organização de TI como um todo.
Em tempo, ainda falando de mercado, 37% dos entrevistados identificaram perda com receita/clientes como resultado de um incidente de segurança com contêiner e kubernetes. Esses incidentes resultam no atraso de projetos e assim podem retardar todo o fluxo de trabalho envolvido, proporcionado um efeito cascata nos negócios: perda de receita, insatisfação do cliente ou até mesmo encerramento de contratos. Esses tipos de ocorrências também podem corroer a confiança do cliente que fica cada vez mais receoso em compartilhar seus dados com a empresa.
Ao priorizar a segurança no início de uma estratégia nativa de nuvem, organizações investem na proteção de ativos como parte do negócio, desde simples informações dos clientes, passando até dados confidenciais e propriedade intelectual. Essas empresas engajadas com a cibersegurança também serão capazes de atender melhor aos requisitos regulatórios, impulsionar a continuidade dos negócios, manter a confiança do cliente e reduzir o custo de remediar problemas de segurança posteriormente. Em resumo, é um negócio benéfico aos dois lados do balcão.
Preocupações sobre a segurança da cadeia de fornecimento de software
De acordo com o relatório, empresas estão prestando mais atenção à segurança da cadeia de fornecimento de software — e por um bom motivo. A Sonatype informou que, nos últimos 3 anos, os ataques desse tipo aumentaram, em média, surpreendentes 742% por ano. Para entender quais preocupações com a cadeia de fornecimento de software tiram o sono dos líderes de TI, a pesquisa realizou algumas perguntas relacionadas à segurança da cadeia de fornecimento de software no Kubernetes.
Segundo os tomadores de decisões, as três principais preocupações são componentes de aplicação vulneráveis (32%), controles de acesso insuficientes (30%) e ausência de uma lista de materiais de software (SBOM) ou proveniência (29%). O que é alarmante, no entanto, é que mais da metade dos entrevistados passou por praticamente todos os problemas descritos pelo estudo — com componentes de aplicações vulneráveis e fraqueza do pipeline de integração/entrega contínua (CI/CD) sendo os dois principais problemas —, o que significa que essas corporações precisam de uma reformulação imediata.
A boa notícia é que muitas organizações estão fazendo progressos para ajudar a proteger melhor suas cadeias de fornecimento de software. Embora a segurança desse ambiente seja um campo complexo e multifacetado, ter uma abordagem DevSecOps abrangente é uma estratégia eficaz. Quase metade dos entrevistados tem uma iniciativa de DevSecOps em estágios avançados. Outros 39% entendem o valor do DevSecOps e estão no estágio inicial de adoção.
Além disso, ao focar na segurança de componentes e dependências de software no início do ciclo de vida de desenvolvimento de software e usar práticas de DevSecOps para automatizar a integração da segurança em todas as fases, companhias podem trocar processos manuais inconsistentes por operações consistentes, replicáveis e automatizadas e assim ter mais assertividade em seus segmentos e fluxos de trabalho no dia a dia.
Fonte:
https://tiinside.com.br/20/04/2023/pesquisa-avalia-a-seguranca-de-kubernetes-em-ambiente-de-ti/