StackRox, Red Sınır tarafınca satın alınmadan evvel 2021 yaz raporu için 500 DevOps, mühendis ve güvenlik profesyoneliyle anket düzenleyerek BT önderlerinin konteynerlerle ilgili en büyük tasalarını ve bulut yerlisi ortamları korumak için şirketlerin DevSecOps inisiyatiflerini nasıl kullandığını açığa çıkartı. Raporun tamamı bağlantıda yer alırken aşağıda da rapordan değerli bulgular sıralanıyor.
Her ne kadar kullanan şirket sayısı artsa da güvenlik, konteynerler ve Kubernetes ile ilgili en büyük telaş olmaya devam ediyor. Anketi cevaplayanların yüzde 94’ü son 12 ayda Kubernetes ve konteyner ortamlarında bir güvenlik olayı yaşadığını belirtiyor. Yarısından fazlası ise (yüzde 55) güvenlikten ötürü Kubernetes uygulamalarını üretime göndermeyi geciktirdiğini paylaşıyor.
Bilgi ihlallerinin ve hacklerin niçini incelendiğinde ise insan kusuru en çok aktarılan sebep oluyor. Cevaplayanların yaklaşık yüzde 60’ı, son 12 ayda yanlış bir yapılandırmadan ötürü sorun yaşadıklarını aktarıyor. Neredeyse üçte biri büyük bir zafiyet tespit ettiğini ve neredeyse üçte birlik bir öbür kesim de çalıştırma sırasında bir hadiseden etkilendiklerini paylaşıyor. Yanlış yapılandırmalar ankete katılanların en yaygın ve en epey tasa duyduğu alan olarak öne çıkıyor. Yüzde 47’lik bir kesim konteyner ve Kubernetes ortamlarındaki yanlış yapılandırmalardan kaynaklanan risklerle ilgili telaşları lisana getiriyor. Hücumlara dair endişelendiğini belirten kesim ise neredeyse dörtte birlik (yüzde 13) bir kısmı oluşturuyor.
Konfigürasyon idaresi de güvenlik uzmanları için değerli bir sorun oluşturuyor. Konteyner imajları için zafiyet taraması yapabilen biroldukca araç mevcut lakin yapılandırma idaresini hala kıymetlendirmek gerekiyor. Bu problemleri ortadan kaldırmanın en güzel yolu ise yapılandırma idaresini mümkün olduğunda otomatikleştirmekten geçiyor. Bu yüzden beşerler yerine güvenlik araçlarının tercih edilmesi, geliştiricilerin ve DevOps gruplarının konteyner ve Kubernetes güvenliğini yapılandırmasına yardımcı olan bariyerler sunuyor.
Anket sonuçları Kubernetes’in en büyük avantajı olan inovasyonu daha süratli yaparken güvenliği geliştirme ömür döngüsünün başlarında uygulamak için geliştirme, BT operasyonları ve güvenlik grupları içinde iş birliğinin ehemmiyetini öne çıkarıyor.
DevOps, çeşitli vazifeler içinde konteynerlerin ve Kubernetes’in güvenliğini sağlamaktan sorumlu olarak en epey belirtilen tek alan olarak öne çıkıyor. Güvenliğin ‘sola kayması’ gerektiğini lisana getiren yüzde 15’lik kesim, geliştiricileri Kubernetes güvenliğinin ana sahibi olarak görüyor ve anketi cevaplayanların sadece yüzde 18’i güvenlik gruplarını en sorumlu alan olarak tanımlıyor.
Bu dağılım, konteyner ve Kubernetes güvenliğinin gelişmesi için sağlıklı bir ortamın olması gerektiğini gösteriyor. Güvenlik çoklukla güvenliğin ve uyumluluk unsurlarının uygulandığı merkezi bir denetim noktası olarak bedellendiriliyor. Konteynerlerin ve Kubernetes’in sıklıkla DevOps için kullanıldığı göz önünde bulundurulduğunda anketi cevaplayanların da DevOps grubunu bu teknolojilerin güvenliğinden sorumlu tutması olağan bir yaklaşım oluyor. Bu meseleleri ortadan kaldırmak için konteyner ve Kubernetes güvenlik araçlarının tüm şirkete ziyan verebilen siloları artırmak yerine geliştiriciler, DevOps ve güvenlik üzere farklı takımlar içinde iş birliğini kolaylaştırması gerekiyor.
Araştırma DevSecOps’un yalnızca tanınan bir söz olmadığını gösteriyor. Güvenliğin daha sonradan eklemek yerine uygulama geliştirme döngüsünde kullanılabilmesini sağlayan süreçleri ve araçları kapsayan terim günümüzde şirketler tarafınca uygulanıyor. Anket, cevaplayanların büyük çoğunluğunun DevSecOps inisiyatifinin bir çeşidini halihazırda kullandığını açığa çıkartıyor. DevOps’u güvenlikten farklı olarak kullananlar, cevaplayanların sırf yüzde 26’sını oluşturuyor.
Kurumlar süratli bir biçimde konteynerleri ve Kubernetes’i kullanıyor lakin beraberinde güvenlik stratejilerine ve araçlarına gerekli yatırımları yapmazsa bu biçimde kritik uygulamalarının güvenliğini riske atıyor ve uygulamanın kullanıcılara ulaştırılma süreçlerini ertelemesi gerekebiliyor. Güvenliğe yetersiz yatırım yapmak ise anketi cevaplayanların bağlı olduğu şirketin konteyner stratejisine yönelik en çok bahsedilen kaygı olarak dikkat çekiyor.
Öte yandan en azından temel bir Kubernetes güvenlik stratejisine sahip olan cevaplayanların oranı ise yüzde 67. Rastgele bir güvenlik stratejisi bulunmayan cevaplayanların yüzde 7’lik bir kısmı oluşturması da daha fazlaca öne çıkan bir bulgu. Olumlu bir yaklaşım gösteren bu datalar, hala güvenlik stratejilerinin olgunlaşması ve şirketlerin planlarına daha fazla yatırım yapması gerektiğini gösteriyor. bu biçimdece şirketler konteyner güvenliği ve uyumluluk gereksinimlerine dair sıkıntıları gerçek bir biçimde ortadan kaldırabilecek.
Kubernetes yerlisi güvenliği entegre ederek kurumlar değerli güvenlik avantajları için Kubernetes’teki varlıklı bildirime dayalı bilgilerden ve lokal kontrollerden yararlanabiliyor. Kubernetes’te bulunan bildirime dayalı bilgilerin tahlil edilmesi, yapılandırma idaresi, uyumluluk, segmentasyon ve Kubernetes’e mahsus güvenlik açıklarına ait risk tabanlı öngörülerle daha uygun güvenlik sağlayabiliyorlar. Uygulama geliştirme ve güvenlik için tıpkı altyapıyı ve kontrollerini kullanmak, öğrenme sürecinin kolaylaşmasına yardımcı oluyor ve daha süratli tahlil ve sorun giderme imkanı sunuyor.
Her ne kadar kullanan şirket sayısı artsa da güvenlik, konteynerler ve Kubernetes ile ilgili en büyük telaş olmaya devam ediyor. Anketi cevaplayanların yüzde 94’ü son 12 ayda Kubernetes ve konteyner ortamlarında bir güvenlik olayı yaşadığını belirtiyor. Yarısından fazlası ise (yüzde 55) güvenlikten ötürü Kubernetes uygulamalarını üretime göndermeyi geciktirdiğini paylaşıyor.
Bilgi ihlallerinin ve hacklerin niçini incelendiğinde ise insan kusuru en çok aktarılan sebep oluyor. Cevaplayanların yaklaşık yüzde 60’ı, son 12 ayda yanlış bir yapılandırmadan ötürü sorun yaşadıklarını aktarıyor. Neredeyse üçte biri büyük bir zafiyet tespit ettiğini ve neredeyse üçte birlik bir öbür kesim de çalıştırma sırasında bir hadiseden etkilendiklerini paylaşıyor. Yanlış yapılandırmalar ankete katılanların en yaygın ve en epey tasa duyduğu alan olarak öne çıkıyor. Yüzde 47’lik bir kesim konteyner ve Kubernetes ortamlarındaki yanlış yapılandırmalardan kaynaklanan risklerle ilgili telaşları lisana getiriyor. Hücumlara dair endişelendiğini belirten kesim ise neredeyse dörtte birlik (yüzde 13) bir kısmı oluşturuyor.
Konfigürasyon idaresi de güvenlik uzmanları için değerli bir sorun oluşturuyor. Konteyner imajları için zafiyet taraması yapabilen biroldukca araç mevcut lakin yapılandırma idaresini hala kıymetlendirmek gerekiyor. Bu problemleri ortadan kaldırmanın en güzel yolu ise yapılandırma idaresini mümkün olduğunda otomatikleştirmekten geçiyor. Bu yüzden beşerler yerine güvenlik araçlarının tercih edilmesi, geliştiricilerin ve DevOps gruplarının konteyner ve Kubernetes güvenliğini yapılandırmasına yardımcı olan bariyerler sunuyor.
Anket sonuçları Kubernetes’in en büyük avantajı olan inovasyonu daha süratli yaparken güvenliği geliştirme ömür döngüsünün başlarında uygulamak için geliştirme, BT operasyonları ve güvenlik grupları içinde iş birliğinin ehemmiyetini öne çıkarıyor.
DevOps, çeşitli vazifeler içinde konteynerlerin ve Kubernetes’in güvenliğini sağlamaktan sorumlu olarak en epey belirtilen tek alan olarak öne çıkıyor. Güvenliğin ‘sola kayması’ gerektiğini lisana getiren yüzde 15’lik kesim, geliştiricileri Kubernetes güvenliğinin ana sahibi olarak görüyor ve anketi cevaplayanların sadece yüzde 18’i güvenlik gruplarını en sorumlu alan olarak tanımlıyor.
Bu dağılım, konteyner ve Kubernetes güvenliğinin gelişmesi için sağlıklı bir ortamın olması gerektiğini gösteriyor. Güvenlik çoklukla güvenliğin ve uyumluluk unsurlarının uygulandığı merkezi bir denetim noktası olarak bedellendiriliyor. Konteynerlerin ve Kubernetes’in sıklıkla DevOps için kullanıldığı göz önünde bulundurulduğunda anketi cevaplayanların da DevOps grubunu bu teknolojilerin güvenliğinden sorumlu tutması olağan bir yaklaşım oluyor. Bu meseleleri ortadan kaldırmak için konteyner ve Kubernetes güvenlik araçlarının tüm şirkete ziyan verebilen siloları artırmak yerine geliştiriciler, DevOps ve güvenlik üzere farklı takımlar içinde iş birliğini kolaylaştırması gerekiyor.
Araştırma DevSecOps’un yalnızca tanınan bir söz olmadığını gösteriyor. Güvenliğin daha sonradan eklemek yerine uygulama geliştirme döngüsünde kullanılabilmesini sağlayan süreçleri ve araçları kapsayan terim günümüzde şirketler tarafınca uygulanıyor. Anket, cevaplayanların büyük çoğunluğunun DevSecOps inisiyatifinin bir çeşidini halihazırda kullandığını açığa çıkartıyor. DevOps’u güvenlikten farklı olarak kullananlar, cevaplayanların sırf yüzde 26’sını oluşturuyor.
Kurumlar süratli bir biçimde konteynerleri ve Kubernetes’i kullanıyor lakin beraberinde güvenlik stratejilerine ve araçlarına gerekli yatırımları yapmazsa bu biçimde kritik uygulamalarının güvenliğini riske atıyor ve uygulamanın kullanıcılara ulaştırılma süreçlerini ertelemesi gerekebiliyor. Güvenliğe yetersiz yatırım yapmak ise anketi cevaplayanların bağlı olduğu şirketin konteyner stratejisine yönelik en çok bahsedilen kaygı olarak dikkat çekiyor.
Öte yandan en azından temel bir Kubernetes güvenlik stratejisine sahip olan cevaplayanların oranı ise yüzde 67. Rastgele bir güvenlik stratejisi bulunmayan cevaplayanların yüzde 7’lik bir kısmı oluşturması da daha fazlaca öne çıkan bir bulgu. Olumlu bir yaklaşım gösteren bu datalar, hala güvenlik stratejilerinin olgunlaşması ve şirketlerin planlarına daha fazla yatırım yapması gerektiğini gösteriyor. bu biçimdece şirketler konteyner güvenliği ve uyumluluk gereksinimlerine dair sıkıntıları gerçek bir biçimde ortadan kaldırabilecek.
Kubernetes yerlisi güvenliği entegre ederek kurumlar değerli güvenlik avantajları için Kubernetes’teki varlıklı bildirime dayalı bilgilerden ve lokal kontrollerden yararlanabiliyor. Kubernetes’te bulunan bildirime dayalı bilgilerin tahlil edilmesi, yapılandırma idaresi, uyumluluk, segmentasyon ve Kubernetes’e mahsus güvenlik açıklarına ait risk tabanlı öngörülerle daha uygun güvenlik sağlayabiliyorlar. Uygulama geliştirme ve güvenlik için tıpkı altyapıyı ve kontrollerini kullanmak, öğrenme sürecinin kolaylaşmasına yardımcı oluyor ve daha süratli tahlil ve sorun giderme imkanı sunuyor.