Red Hat ha presentado el informe ‘El Estado de la Seguridad de Kubernetes 2023’, el cual analiza los riesgos a los que se enfrentan las compañías, incluidos en su software, al aplicar la plataforma de orquestación de contenedores, Kubernetes.
Dicho estudio se basa en una encuesta realizada a 600 profesionales de DevOps, ingeniería y seguridad a nivel mundial, afirmando el 38% de ellos que la inversión en seguridad en las operaciones en contenedores es insuficiente. Otro 67% considera que la aplicación del cloud-native ha tenido que ralentizarse debido a problemas de seguridad durante el último año. Es por ello que también se recogen claves para solventar estos riesgos y proteger así sus aplicaciones y entornos de TI.
La importancia de velar por la seguridad
Si los contenedores de Kubernetes no se adoptan en las empresas es por la preocupación de éstas frente a la seguridad. En 2022 la inversión en seguridad fue del 31%, mientras que este año se ha incrementado en un 7%, aunque no creciendo al mismo ritmo. La seguridad es fundamental para que se abogue por las tecnologías cloud-native.
El hecho de instaurar soluciones cloud-native lleva implícita soluciones de seguridad cloud-native y un enfoque DevSecOps, por lo que los equipos de TI deben implementar herramientas de seguridad que aporten información y controles en el pipeline de la aplicación CI/CD y en el pipeline de infraestructuras.
El hecho de contar con seguridad integrada permitirá a las organizaciones destinar dinero adicional en el presupuesto a soluciones de seguridad, sin depender exclusivamente de las soluciones existentes que les exijan cumplir con los requisitos de cloud-native computing.
Las tecnologías cloud-native proporcionan rapidez de comercialización, adaptabilidad y fiabilidad
Siguiendo con ‘El Estado de la Seguridad de Kubernetes 2023’ de Redhat, se extrae que el 21% de los entrevistados considera que un incidente de seguridad provoca el despido de un empleado, mientras que el 25% aseguró que la organización fue multada por infracciones de la normativa o filtraciones de datos. Esto les reportaría también una importante publicidad negativa.
Por tanto, la clave es que se invierta en herramientas cloud-native con seguridad incorporada, en lugar de que fuese un complemento. Solo así se lograría evitar que las organizaciones destinasen un dinero adicional de su presupuesto a soluciones de seguridad en base con las nuevas tecnologías.
De este modo, si se producen incidentes de seguridad en contenedores se podrá generar un negativo efecto dominó en el negocio con una correspondiente pérdida de ingresos notable. A su vez esto propiciaría en un grado de insatisfacción del cliente y en la pérdida de la cuota de mercado frente a los principales competidores. Así pues, el 37% de los encuestados percibió pérdidas de ingresos/clientes después de un incidente de seguridad.
La incorporación de las tecnologías cloud-native proporcionan rapidez de comercialización, adaptabilidad y fiabilidad, logrando así que las empresas transformasen de manera eficiente su infraestructura de TI. Si se ofrece seguridad desde el principio en una estrategia cloud-native se estarán protegiendo los activos empresariales, los datos confidenciales y la propiedad intelectual, reduciendo los costes en materia de seguridad en el futuro.
La seguridad en la cadena de suministro de software
En esta línea, Sonatype informa que en los últimos tres años se han incrementado los ataques a la cadena de suministro de software en un 742% de media, algo que también afecta a Kubernetes. Las preocupaciones que mantienen en alerta a los usuarios son los componentes vulnerables de las aplicaciones (en un 32%), los controles de acceso insuficientes (en un 30%) y la falta de materiales de software o procedencia (en un 29%). Los componentes vulnerables y la debilidad de la integración continua y entrega continua del pipeline (CI/CD) son los dos problemas más reiterados.
El hecho de contar con un enfoque integral de DevSecOps se convierte en una estrategia eficaz. Así pues, casi la mitad de los encuestados posee una iniciativa de este tipo en fase avanzada, mientras que el 39% es conocedor del valor de DevSecOps y la está aplicando en su fase inicial de adopción. Con todo ello, las organizaciones podrán empezar a acometer operaciones coherentes, repetibles y automatizadas, en lugar de procesos manuales con errores.
