Kubernetes parece ser una pesadilla de seguridad porque es extremadamente complejo de usar y las personas encargadas de usarlo están luchando para salir adelante, según un informe de Red Hat.

La empresa encuestó a 300 profesionales de DevOps, ingeniería y seguridad para el artículo y descubrió que el 55 % había pospuesto el lanzamiento de una aplicación debido a problemas de seguridad.

Casi todos (93 %) tuvieron al menos un incidente de seguridad en su entorno de Kubernetes en los últimos 12 meses, y un tercio (31 %) experimentó pérdida de ingresos o pérdida de clientes.

malas configuraciones

«Kubernetes y los contenedores, si bien son potentes, se diseñaron para la productividad de los desarrolladores, no necesariamente para la seguridad», dice el informe. «Por ejemplo, la configuración de red predeterminada de pod a pod permite una comunicación abierta para poner en marcha un clúster rápidamente, a expensas de reforzar la seguridad».

Los entornos complejos dan lugar a errores de configuración, y los errores de configuración dan lugar a incidentes de seguridad en los endpoints.

“A pesar de la considerable atención de los medios sobre los ataques cibernéticos, el informe subraya que en realidad son las configuraciones incorrectas las que mantienen despiertos a los profesionales de TI”, dijo Ajmal Kohgadai, gerente de marketing de productos de Red Hat.

«Kubernetes es altamente personalizable, con varias opciones de configuración que pueden afectar la postura de seguridad de una aplicación. Como resultado, los encuestados estaban más preocupados por las exposiciones debido a configuraciones incorrectas en su contenedor y entornos de Kubernetes (46 %), casi tres veces el nivel de preocupación por ataques (16%)».

Sin embargo, esto apenas daña la imagen o la popularidad de Kubernetes. El software de orquestación de contenedores de código abierto es utilizado o considerado por el 96 % de las organizaciones, según el informe de Cloud Native Computing Foundation del año pasado.

Red Hat busca resolver el problema del error humano minimizando la interacción humana a través de la automatización, y con ese fin adquirió StackRox el año pasado. «El proyecto StackRox tiene como objetivo ayudar a simplificar DevSecOps integrando capacidades de seguridad en el ciclo de vida de desarrollo e implementación, moviendo efectivamente la seguridad de las aplicaciones ‘hacia la izquierda’ en la creación de software», dijo la compañía a Reuters.

Vía: El Registro

Share This