A pesar de que kubernetes sigue siendo una tecnología relativamente joven, las tasas de adopción se han disparado en los últimos años, ya que la plataforma de orquestación de contenedores se ha convertido en la piedra angular de muchas iniciativas de transformación digital. Sin embargo, incluso cuando las organizaciones se asientan en el uso de la tecnología en producción, sigue habiendo preocupación en torno a las mejores formas de proteger las cargas de trabajo en contenedores. El estudio de Red Hat “El Estado de la Seguridad de Kubernetes de 2023” analiza los riesgos de seguridad específicos a los que se enfrentan las organizaciones en relación con el desarrollo cloud-native, incluidos los riesgos para su cadena de suministro de software, y cómo mitigan estos riesgos para proteger sus aplicaciones y entornos de TI.
El estudio se basa en una encuesta realizada a 600 profesionales de DevOps, ingeniería y seguridad a nivel mundial y desvela algunos de los retos de seguridad más comunes a los que se enfrentan las organizaciones en su proceso de adopción cloud-native y su impacto en el negocio. El informe también ofrece las mejores prácticas y directrices que podrían reducir sus riesgos de seguridad para los equipos de desarrollo y seguridad de aplicaciones.
La inversión no se corresponde con la adopción
La seguridad sigue siendo una de las mayores preocupaciones en torno a la adopción de contenedores. El estudio de este año no ha sido diferente: el 38% de los encuestados afirma que la seguridad no se toma con suficiente seriedad o que la inversión en seguridad es inadecuada, lo que supone un aumento del 7% con respecto al año pasado. Lo curioso es que las tasas de adopción siguen creciendo, pero la inversión en seguridad no siempre sigue el mismo ritmo de aumento.
Las soluciones cloud-native requieren soluciones de seguridad cloud-native, que a menudo pueden (y deben) incluir un enfoque DevSecOps. Los equipos de TI deben centrarse en la selección e implementación de herramientas de seguridad que proporcionen información y controles en el pipeline de la aplicación CI/CD, así como en el pipeline de infraestructuras. Las organizaciones deben planificar esta transición como parte de sus iniciativas de transformación y no limitarse a confiar en las soluciones existentes, que a menudo requieren una adaptación o ajuste sustancial para cumplir los requisitos de cloud-native computing.
Una de las mejores formas de superar la brecha de inversión y adopción es invertir en herramientas cloud-native con seguridad incorporada, en lugar de que sea un complemento. Con la seguridad integrada en la solución -desde la base del sistema operativo hasta el nivel de aplicación-, las organizaciones no tienen que dedicar dinero adicional en el presupuesto para soluciones de seguridad que se alineen con sus últimas tecnologías.
La preocupación por la seguridad lastra los resultados de negocio
Una de las principales razones para adoptar tecnologías cloud-native es la agilidad que proporcionan. La rapidez de comercialización, la adaptabilidad y la fiabilidad son ventajas de las tecnologías cloud-native e impulsores clave para que las empresas transformen digitalmente su infraestructura de TI. Sin embargo, estas ventajas no siempre se materializan: según el estudio, el 67% de los entrevistados ha tenido que retrasar o ralentizar el despliegue de aplicaciones por motivos de seguridad. Esto no es demasiado sorprendente, ya que las nuevas tecnologías a menudo crean desafíos de seguridad imprevistos, pero la seguridad debe considerarse como un componente de la adopción exitosa de la tecnología, no como un obstáculo o un perjuicio para el desarrollo cloud-native.
Sin embargo, los retrasos menores son a menudo la menor de las preocupaciones de una organización cuando se trata de incidentes de seguridad cloud-native, ya que el estudio indica que también hay posibilidad de impactos en el negocio aún más graves. El 21% de los entrevistados afirmó que un incidente de seguridad provocó el despido de un empleado, y el 25% dijo que la organización fue multada. Más allá del obvio impacto asociado, esto podría resultar en una pérdida de talento, conocimiento y experiencia valiosa para para la organización de TI en general. Además, las empresas que deben hacer frente a multas por infracciones de la normativa o filtraciones de datos se enfrentan a una importante carga financiera, por no hablar de la publicidad negativa.
El 37% de los entrevistados identificó pérdidas de ingresos/clientes como resultado de un incidente de seguridad de contenedores y Kubernetes. Estos incidentes podrían provocar el retraso de proyectos o lanzamientos de productos críticos, ya que las empresas deben priorizar los esfuerzos de seguridad para abordar las vulnerabilidades que se pasaron por alto en la fase de desarrollo. Este retraso podría tener un efecto dominó en el negocio, lo que resultaría en una mayor pérdida de ingresos, insatisfacción del cliente o incluso pérdida de cuota de mercado frente a los competidores. Este tipo de incidentes también puede erosionar la confianza de los clientes en la capacidad de una empresa para proteger los datos sensibles, lo que puede conducir a la pérdida de clientes.