StacRox yılda iki kere gerçekleştirdiği State of Kubernetes Security raporunda şirketlerin Kubernetes’i, konteynerleri ve bulut yerlisi teknolojileri nasıl kullandığını ve güvenliklerine dair zorlukları nasıl çözdüğünü inceliyor.
StackRox, Red Hat tarafından satın alınmadan önce 2021 yaz raporu için 500 DevOps, mühendis ve güvenlik profesyoneliyle anket düzenleyerek BT liderlerinin konteynerlerle ilgili en büyük endişelerini ve bulut yerlisi ortamları korumak için şirketlerin DevSecOps inisiyatiflerini nasıl kullandığını açığa çıkartı. Raporun tamamı bağlantıda yer alırken aşağıda da rapordan önemli bulgular sıralanıyor.
Endişeler hala varlığını sürdürüyor ve inovasyonu yavaşlatıyor
Her ne kadar kullanan şirket sayısı artsa da güvenlik, konteynerler ve Kubernetes ile ilgili en büyük endişe olmaya devam ediyor. Anketi cevaplayanların yüzde 94’ü son 12 ayda Kubernetes ve konteyner ortamlarında bir güvenlik olayı yaşadığını belirtiyor. Yarısından fazlası ise (yüzde 55) güvenlikten ötürü Kubernetes uygulamalarını üretime göndermeyi geciktirdiğini paylaşıyor.
Veri ihlallerinin ve hacklerin sebebi incelendiğinde ise insan hatası en çok aktarılan sebep oluyor. Cevaplayanların yaklaşık yüzde 60’ı, son 12 ayda yanlış bir yapılandırmadan ötürü sorun yaşadıklarını aktarıyor. Neredeyse üçte biri büyük bir zafiyet tespit ettiğini ve neredeyse üçte birlik bir başka kesim de çalıştırma sırasında bir olaydan etkilendiklerini paylaşıyor. Yanlış yapılandırmalar ankete katılanların en yaygın ve en çok endişe duyduğu alan olarak öne çıkıyor. Yüzde 47’lik bir kesim konteyner ve Kubernetes ortamlarındaki yanlış yapılandırmalardan kaynaklanan risklerle ilgili endişeleri dile getiriyor. Saldırılara dair endişelendiğini belirten kesim ise neredeyse dörtte birlik (yüzde 13) bir kesimi oluşturuyor.
Konfigürasyon yönetimi de güvenlik uzmanları için önemli bir sorun oluşturuyor. Konteyner imajları için zafiyet taraması yapabilen birçok araç mevcut ancak yapılandırma yönetimini hala değerlendirmek gerekiyor. Bu sorunları ortadan kaldırmanın en iyi yolu ise yapılandırma yönetimini mümkün olduğunda otomatikleştirmekten geçiyor. Bu yüzden insanlar yerine güvenlik araçlarının tercih edilmesi, geliştiricilerin ve DevOps ekiplerinin konteyner ve Kubernetes güvenliğini yapılandırmasına yardımcı olan bariyerler sunuyor.
‘Sola kaymak’ gerekiyor
Anket sonuçları Kubernetes’in en büyük avantajı olan inovasyonu daha hızlı yaparken güvenliği geliştirme yaşam döngüsünün başlarında uygulamak için geliştirme, BT operasyonları ve güvenlik ekipleri arasında iş birliğinin önemini öne çıkarıyor.
DevOps, çeşitli görevler arasında konteynerlerin ve Kubernetes’in güvenliğini sağlamaktan sorumlu olarak en çok belirtilen tek alan olarak öne çıkıyor. Güvenliğin ‘sola kayması’ gerektiğini dile getiren yüzde 15’lik kesim, geliştiricileri Kubernetes güvenliğinin ana sahibi olarak görüyor ve anketi cevaplayanların yalnızca yüzde 18’i güvenlik ekiplerini en sorumlu alan olarak tanımlıyor.
Bu dağılım, konteyner ve Kubernetes güvenliğinin gelişmesi için sağlıklı bir ortamın olması gerektiğini gösteriyor. Güvenlik genellikle güvenliğin ve uyumluluk ilkelerinin uygulandığı merkezi bir kontrol noktası olarak değerlendiriliyor. Konteynerlerin ve Kubernetes’in çoğunlukla DevOps için kullanıldığı göz önünde bulundurulduğunda anketi cevaplayanların da DevOps ekibini bu teknolojilerin güvenliğinden sorumlu tutması normal bir yaklaşım oluyor. Bu sorunları ortadan kaldırmak için konteyner ve Kubernetes güvenlik araçlarının tüm şirkete zarar verebilen siloları artırmak yerine geliştiriciler, DevOps ve güvenlik gibi farklı ekipler arasında iş birliğini kolaylaştırması gerekiyor.
Araştırma DevSecOps’un sadece popüler bir kelime olmadığını gösteriyor. Güvenliğin sonradan eklemek yerine uygulama geliştirme döngüsünde kullanılabilmesini sağlayan süreçleri ve araçları kapsayan terim günümüzde şirketler tarafından uygulanıyor. Anket, cevaplayanların büyük çoğunluğunun DevSecOps inisiyatifinin bir türünü halihazırda kullandığını açığa çıkartıyor. DevOps’u güvenlikten ayrı olarak kullananlar, cevaplayanların yalnızca yüzde 26’sını oluşturuyor.
Güvenliğe yatırım yapmak
Kurumlar hızlı bir şekilde konteynerleri ve Kubernetes’i kullanıyor ancak aynı zamanda güvenlik stratejilerine ve araçlarına gerekli yatırımları yapmazsa o zaman kritik uygulamalarının güvenliğini riske atıyor ve uygulamanın kullanıcılara ulaştırılma süreçlerini ertelemesi gerekebiliyor. Güvenliğe yetersiz yatırım yapmak ise anketi cevaplayanların bağlı olduğu şirketin konteyner stratejisine yönelik en çok bahsedilen endişe olarak dikkat çekiyor.
Öte yandan en azından temel bir Kubernetes güvenlik stratejisine sahip olan cevaplayanların oranı ise yüzde 67. Herhangi bir güvenlik stratejisi bulunmayan cevaplayanların yüzde 7’lik bir kesimi oluşturması da daha çok öne çıkan bir bulgu. Olumlu bir yaklaşım gösteren bu veriler, hala güvenlik stratejilerinin olgunlaşması ve şirketlerin planlarına daha fazla yatırım yapması gerektiğini gösteriyor. Böylece şirketler konteyner güvenliği ve uyumluluk ihtiyaçlarına dair sorunları doğru bir şekilde ortadan kaldırabilecek.
Kubernetes yerlisi güvenliği entegre ederek kurumlar önemli güvenlik avantajları için Kubernetes’teki zengin bildirime dayalı verilerden ve yerel denetimlerden yararlanabiliyor. Kubernetes’te bulunan bildirime dayalı verilerin analiz edilmesi, yapılandırma yönetimi, uyumluluk, segmentasyon ve Kubernetes’e özgü güvenlik açıklarına ilişkin risk tabanlı öngörülerle daha iyi güvenlik sağlayabiliyorlar. Uygulama geliştirme ve güvenlik için aynı altyapıyı ve denetimlerini kullanmak, öğrenme sürecinin kolaylaşmasına yardımcı oluyor ve daha hızlı analiz ve sorun giderme imkanı sunuyor.
