Red Hat präsentiert einen Bericht zu den Sicherheitsherausforderungen, die Unternehmen bei der Nutzung von Kubernetes, Containern und Cloud-nativen Technologien haben. Für die Untersuchung "State of Kubernetes Security" wurden mehr als 500 DevOps-Experten, Entwickler und Sicherheitsverantwortliche befragt.
Ein zentrales Ergebnis ist, dass die Sicherheitsbedenken trotz der zunehmenden Kubernetes-Einführung bestehen bleiben. Es ist insofern nicht überraschend, als 94 % einen Sicherheitsvorfall in ihren Kubernetes- und Container-Umgebungen in den letzten zwölf Monaten verzeichnen mussten. 55 % mussten zudem die Produktivnahme von Kubernetes-Applikationen aus Sicherheitsgründen verschieben.
Menschliche Fehler sind die am häufigsten genannte Ursache für Sicherheitsverletzungen. Fast 60 % der Befragten geben an, dass sie in den letzten zwölf Monaten einen Vorfall mit Fehlkonfigurationen in ihren Umgebungen hatten. Das Konfigurationsmanagement stellt für die Sicherheitsexperten generell eine der größten Herausforderungen dar.
Während für das Vulnerability-Scanning von Container-Images eine Vielzahl von Tools zur Verfügung steht, ist das Konfigurationsmanagement eine komplexere Aufgabe. Es sollte deshalb so weit wie möglich unter Nutzung von Sicherheitstools automatisiert werden.
Die Studie hat auch gezeigt, dass DevSecOps nicht mehr nur ein Schlagwort ist. Die überwiegende Mehrheit der Befragten hat bereits DevSecOps-Prozesse umgesetzt. Nur 26 % der Befragten betreiben DevOps weiterhin getrennt von der Security.
Als weiteres positives Ergebnis der Untersuchung fällt auf, dass 67 % zumindest eine Basis-Sicherheitsstrategie im Kubernetes-Umfeld verfolgen. Nur 7 % haben keine derartige Strategie. Trotz dieser erfreulichen Daten sollten Unternehmen weiter verstärkt Sicherheitsinitiativen ergreifen, um die Herausforderungen rund um die Container-Security und das Compliance-Management adäquat zu adressieren.
So können Unternehmen etwa die umfangreichen deklarativen Daten und nativen Kontrollen in Kubernetes nutzen, um die Sicherheit zu verbessern. Die Analyse der in Kubernetes verfügbaren deklarativen Daten bietet risikobasierte Einblicke in Bereiche wie Konfigurationsmanagement, Compliance, Segmentierung und Kubernetes-spezifische Schwachstellen.