Las empresas adoptan Kubernetes, pero carecen de herramientas de seguridad para mitigar el riesgo
AS-30-2020
Fecha: 16/Nov/2020
Definiciones:
Kubernetes. Es un sistema de código libre para la automatización del despliegue, ajuste de escala y manejo de aplicaciones en contenedores el cual fue originalmente diseñado por Google y donado a la Cloud Native Computing Foundation-CNFC (parte de la Linux Foundation). Soporta diferentes entornos para la ejecución de contenedores, incluido Docker.
Resumen:
Las empresas adoptan cada vez más el traslado de múltiples aplicaciones a la nube mediante contenedores y utilizan Kubernetes para la orquestación, según Zettaset. Sin embargo, los hallazgos también confirman que las organizaciones no están protegiendo adecuadamente los datos almacenados en estos nuevos entornos nativos de la nube y siguen aprovechando la tecnología de seguridad heredada existente como solución.
Las empresas deben invertir en protección de datos de alto rendimiento.
La adopción de contenedores, microservicios y Kubernetes para la orquestación desempeñan un papel importante en estos esfuerzos de aceleración digital.
La seguridad de los datos debe ser un requisito fundamental para cualquier organización empresarial y la adopción de nuevas tecnologías no debería cambiar eso", dijo Tim Reilly, CEO de Zettaset.
El objetivo de esta investigación era determinar si las organizaciones empresariales que están realizando una transición activa de DevOps a DevSecOps están invirtiendo en tecnología de seguridad y una adecuada protección de datos. Y aunque los hallazgos confirman que las empresas están tomando de hecho la decisión estratégica de cambiar hacia entornos nativos de la nube, actualmente están mal equipadas para asegurar el activo más crítico de su empresa: los datos.
Las empresas deben invertir en protección de datos de alto rendimiento para proteger la información crítica en tiempo real en cualquier arquitectura.
Conclusiones.
Las organizaciones están adoptando la nube y las tecnologías nativas de la nube: el 39% de los encuestados tiene varias aplicaciones de producción implementadas en Kubernetes. Sin embargo, las empresas todavía están luchando con las complejidades asociadas con estos entornos y cómo proteger las implementaciones.
Los proveedores de nube ofrecen una influencia considerable con respecto a la distribución de Kubernetes: Un poco más de la mitad de los encuestados utilizan Kubernetes de código abierto disponibles a través de Cloud Native Computing Foundation (CNCF). Y el 34,7% de los encuestados utiliza una oferta de Kubernetes gestionada por un proveedor de nube existente como AWS, Google, Azure e IBM.
Las mejores prácticas de seguridad de Kubernetes aún no se han identificado: el 60,1% de los encuestados cree que hay una falta de educación adecuada y conciencia de las formas adecuadas de mitigar el riesgo asociado con el almacenamiento de datos en entornos nativos de la nube. Y el 43,2% confía en que se crean múltiples superficies vulnerables de ataque con la introducción de Kubernetes.
Las empresas aún no han evolucionado sus estrategias de seguridad existentes: Casi la mitad de los encuestados (46,5%) están utilizando herramientas tradicionales de cifrado de datos para proteger sus datos almacenados en clústeres de Kubernetes. Más del 20% están descubriendo que estas herramientas tradicionales no están funcionando como se desea.
Referencias:
https://www.helpnetsecurity.com/2020/11/13/enterprises-embrace-kubernetes-lack-security-tools/
Notificación FIRST, al CSIRT-EPN