Cala la opinión de que la inversión en seguridad en las operaciones en contenedores es inadecuada
- Cloud
Un estudio de Red Hat sobre el estado de la seguridad en Kubernetes sugiere que está calando la opinión de que la inversión que están realizado las empresas para proteger las operaciones en contendores es inadecuada. De un total de 600 profesionales encuestados de las áreas de DevOps, ingeniería y seguridad a nivel mundial, un 38% así lo asegura, un 7% más que el año pasado.
El estudio de Red Hat "El Estado de la Seguridad de Kubernetes de 2023" analiza los riesgos de seguridad específicos a los que se enfrentan las organizaciones en relación con el desarrollo nativo en cloud, que incluyen los peligros para su cadena de suministro de software, y cómo mitigan esta amenaza para proteger sus aplicaciones y entornos de TI.
A pesar de que Kubernetes sigue siendo una tecnología relativamente joven, las tasas de adopción se han disparado en los últimos años, ya que la plataforma de orquestación de contenedores se ha convertido en la piedra angular de muchas iniciativas de transformación digital. Sin embargo, incluso cuando las organizaciones se asientan en el uso de la tecnología en producción, sigue habiendo preocupación en torno a las mejores formas de proteger las cargas de trabajo en contenedores.
Entre las conclusiones más destacadas de esta última edición destacan tres conclusiones. La primera es que el 38% de los entrevistados asegura que la inversión en seguridad en las operaciones en contenedores es inadecuada, lo que supone un aumento del 7% con respecto a 2022. Sobre ello, Ajmal Kohgadai, senior principal product marketing manager en el area de seguridad de Red Hat, subraya que “lo curioso, según es que las tasas de adopción siguen creciendo, pero la inversión en seguridad no siempre sigue el mismo ritmo de aumento”.
La segunda es que el 67% ha tenido que ralentizar la adopción ‘cloud-native’ debido a problemas de seguridad, y la tercera que más de la mitad ha experimentado un problema en la cadena de suministro de software relacionado con el desarrollo nativo en la nube y en contenedores en los últimos doce meses.
De acuerdo con Kohgadai, las soluciones que son nativas en la nube requieren soluciones de seguridad también nativas que, a menudo, pueden (y deben) incluir un enfoque DevSecOps. “Los equipos de TI deben centrarse en la selección e implementación de herramientas de seguridad que proporcionen información y controles en el pipeline de la aplicación CI/CD, así como en el pipeline de infraestructuras. Las organizaciones deben planificar esta transición como parte de sus iniciativas de transformación y no limitarse a confiar en las soluciones existentes, que a menudo requieren una adaptación o ajuste sustancial para cumplir los requisitos de cloud-native computing”, indica.
Una de las mejores formas de superar la brecha de inversión y adopción es invertir en herramientas nativas cloud con seguridad incorporada, en lugar de que sea un complemento. Con la seguridad integrada en la solución -desde la base del sistema operativo hasta el nivel de aplicación-, las organizaciones no tienen que dedicar dinero adicional en el presupuesto para soluciones de seguridad que se alineen con sus últimas tecnologías.
Seguridad y resultados de negocio
El estudio hace hincapié en que una de las principales razones para adoptar tecnologías nativas en la nube es la agilidad que proporcionan para transformar digitalmente la infraestructura de TI. Sin embargo, estas ventajas no siempre se materializan. De hecho, el 67% de los encuestados por Red Hat ha tenido que retrasar o ralentizar el despliegue de aplicaciones por motivos de seguridad. Esto no es demasiado sorprendente, ya que las nuevas tecnologías a menudo crean desafíos de seguridad imprevistos, pero “la seguridad debe considerarse como un componente de la adopción exitosa de la tecnología”, asegura el portavoz de la compañía.
Sin embargo, los retrasos menores son a menudo la menor de las preocupaciones de una organización cuando se trata de incidentes de seguridad, ya que el estudio indica que también hay posibilidad de impactos en el negocio aún más graves. El 21% de los participantes en el informe afirmó que un incidente de seguridad provocó el despido de un empleado, y el 25% dijo que la organización fue multada. Más allá del obvio impacto asociado, esto podría resultar en una pérdida de talento, conocimiento y experiencia valiosa para la organización de TI en general.
El 37% de los entrevistados identificó pérdidas de ingresos/clientes como resultado de un incidente de seguridad de contenedores y Kubernetes. Estos incidentes podrían provocar el retraso de proyectos o lanzamientos de productos críticos, ya que las empresas deben priorizar los esfuerzos de seguridad para abordar las vulnerabilidades que se pasaron por alto en la fase de desarrollo. Este retraso podría tener un efecto dominó en el negocio, lo que resultaría en una mayor pérdida de ingresos, insatisfacción del cliente o incluso pérdida de cuota de mercado frente a los competidores. Este tipo de incidentes también puede erosionar la confianza de los clientes en la capacidad de una empresa para proteger los datos sensibles, lo que puede conducir a la pérdida de clientes.
Para Red Hat, al dar prioridad a la seguridad desde el principio en una estrategia cloud-native, las organizaciones están invirtiendo en la protección de los activos empresariales, como los datos confidenciales, la propiedad intelectual y la información de los clientes. También pueden cumplir mejor los requisitos normativos, impulsar la continuidad del negocio, mantener la confianza de los clientes y reducir el coste de solucionar problemas de seguridad más adelante.
Seguridad en la cadena de suministro de software
La atención en torno a la seguridad de la cadena de suministro de software está en su punto más alto, y por una buena razón. Sonatype informó que se ha producido un asombroso aumento anual medio del 742% en los ataques a la cadena de suministro de software en los últimos 3 años. Para identificar la preocupación relacionada con la cadena de suministro que mantiene en vilo a los profesionales de TI, preguntamos a los participantes del estudio sobre la seguridad de la cadena de suministro de software en Kubernetes, incluyendo qué incidentes son los más preocupantes y si han experimentado alguno en el último año.
Los resultados están en consonancia con lo que cabría esperar de las cadenas de suministro de software en expansión que son emblemáticas de un entorno en contenedores. Las tres principales preocupaciones son los componentes vulnerables de las aplicaciones (32%), los controles de acceso insuficientes (30%) y la falta de una lista de materiales de software (SBOM) o procedencia (29%).
Sin embargo, lo alarmante es que más de la mitad de los participantes han experimentado prácticamente todos los problemas que señalamos en nuestra pregunta, siendo los componentes vulnerables de las aplicaciones y la debilidad de la integración continua y entrega continua del pipeline (CI/CD) como los dos problemas más citados.
La buena noticia es que muchas organizaciones están dando pasos para ayudar a proteger mejor sus cadenas de suministro de software. Aunque la seguridad de la cadena de suministro de software es un campo complejo y polifacético, contar con un enfoque integral de DevSecOps es una estrategia eficaz. Casi la mitad de los encuestados tienen una iniciativa DevSecOps en etapas avanzadas. Otro 39% comprende el valor de DevSecOps y se encuentra en la fase inicial de adopción.
Además, al centrarse en la seguridad de los componentes y dependencias de software en las primeras fases del ciclo de vida de desarrollo de software y utilizar prácticas DevSecOps para automatizar la integración de la seguridad en cada fase, las organizaciones pueden pasar de procesos manuales incoherentes a operaciones coherentes, repetibles y automatizadas.
