Relatório: adoção do Kubernetes, segurança e tendências do mercado em 2023
Resumo executivo
A edição de 2023 do relatório Estado da Segurança do Kubernetes mergulha nas descobertas de nossa pesquisa anual sobre segurança nativa da nuvem, focando nas cargas de trabalho em containers e no Kubernetes. Este relatório se baseia em uma pesquisa com 600 profissionais de DevOps, engenharia e segurança de todo o mundo, abrangendo grandes empresas e pequenas e médias organizações. O estudo revela alguns dos desafios de segurança mais comuns enfrentados pelas empresas durante a sua jornada de adoção das tecnologias nativas em nuvem e seus efeitos nos negócios.
Destaques do relatório
- Dois terços dos entrevistados relataram o atraso ou redução no ritmo da implantação devido a preocupações com a segurança do Kubernetes.
- As empresas relataram diversos impactos negativos como resultado de incidentes de segurança e conformidade em containers e no Kubernetes, levando a perda de receita e multas.
- A maioria dos entrevistados tem uma iniciativa de DevSecOps em curso, embora 17% digam que operam a segurança separadamente do DevOps.
- Vulnerabilidades e erros de configuração são as principais preocupações de segurança em ambientes de containers e Kubernetes.
- O uso de software open source é uma grande preocupação em se tratando da segurança da cadeia de fornecimento de software.
67% das empresas atrasaram ou reduziram o ritmo da implantação devido a problemas de segurança
Nossa pesquisa descobriu que 67% dos entrevistados tiveram que atrasar ou desacelerar a implantação de aplicações devido a preocupações de segurança. Necessidades de segurança abrangendo todos os aspectos do ciclo de vida da aplicação, do desenvolvimento às fases de implantação e manutenção, podem sobrecarregar algumas empresas. Por isso, elas precisam simplificar a segurança das aplicações em containers, sem desacelerar o desenvolvimento nem aumentar a complexidade operacional.
Priorizar a segurança no início do processo é um investimento na proteção de ativos de negócios valiosos para empresa, como dados confidenciais, propriedade intelectual e informações dos clientes. Isso também ajuda a atender melhor aos exigências regulatórios, garantir continuidade dos negócios, manter a confiança do cliente e reduzir os custos de longo prazo com a correção de problemas de segurança num estágio mais avançado do ciclo de vida do desenvolvimento ou depois que eles já tenham sido explorados.
Compare o que sua empresa vem fazendo com os insights deste relatório e descubra como acelerar a implementação de controles de segurança em containers e no Kubernetes.
Também, 37% deles identificaram perda de receita/clientes como resultado de um incidente de segurança com containers e Kubernetes.
Problemas de segurança podem ocasionar sérios impactos nos negócios. Na pesquisa, 21% dos entrevistados disseram que um incidente de segurança levou ao desligamento de funcionário e 25% revelaram que a organização foi multada. Outro possível impacto negativo dos incidentes de segurança com containers e Kubernetes é a desaceleração do crescimento dos negócios. Dentre os entrevistados, 37% identificaram a perda de receita/clientes como resultado de um incidente desse tipo. Violações de segurança podem gerar atrasos em projetos importantes ou lançamentos de produtos, já que as empresas precisam priorizar os esforços para resolver as vulnerabilidades negligenciadas na etapa de desenvolvimento. Esse atraso pode ter um efeito cascata nos negócios, resultando na perda de receita, insatisfação do cliente ou até mesmo perda de participação no mercado para a concorrência. Além disso, incidentes de segurança podem levar à perda de clientes se eles perderem a confiança na capacidade da empresa de proteger seus dados, estimulando-os a buscar concorrentes com melhor histórico de segurança.
A maioria dos entrevistados possui uma iniciativa de DevSecOps em operação
Em vez de processos independentes, a maioria das empresas adota o DevSecOps, termo que designa o uso de processos e ferramentas para incorporar a segurança no ciclo de vida de desenvolvimento das aplicações. No entanto, os 17% das organizações que não adotam quaisquer iniciativas de DevSecOps e operam a segurança de maneira independente do DevOps podem estar ignorando os benefícios de integrar a segurança no SDLC, como o incremento na eficiência, velocidade e qualidade na entrega de software.
Vulnerabilidades e erros de configuração são as principais preocupações de segurança em ambientes de containers e Kubernetes
Mais de 50% dos entrevistados se preocupam com erros de configuração e vulnerabilidades devido à alta capacidade de personalização dos containers e do Kubernetes. A manutenção de uma postura de segurança consistente é dificultada por três fatores: ambientes dinâmicos onde os containers operam, o uso de muitos componentes fornecidos por terceiros e o compartilhamento de recursos como o kernel do sistema operacional do host. Somados, esses fatores tornam a gestão das configurações de segurança e a detecção e mitigação de vulnerabilidades uma tarefa particularmente desafiadora, fazendo dela o que mais preocupa os participantes da nossa pesquisa.
O uso de software open source é uma grande preocupação para a segurança da cadeia de fornecimento de software
A segurança da cadeia de fornecimento de software é um assunto muito discutido, a medida que os volume de ataques cresce rapidamente. A pesquisa indica que os entrevistados estão preocupados, principalmente, com as vulnerabilidades de software e o uso de software open source na cadeia de fornecimento. A preocupação com vulnerabilidades de software é justificada, pois elas têm o potencial de causar graves incidentes de segurança, tais como violações de dados, infecções por malware e acessos não autorizados. O uso do open source representa um desafio de segurança para as cadeias de fornecimento de software, uma vez que esse tipo de tecnologia é amplamente utilizada no desenvolvimento moderno e pode introduzir riscos de segurança se contiver vulnerabilidades ou não receber a manutenção adequada.
Leia o relatório completo para dicas sobre como alcançar melhor segurança
Quando a segurança é deixada em segundo plano e as organizações não garantem que seus ambientes nativos da nuvem sejam construídos, implantados e gerenciados de forma segura, elas colocam em risco o principal benefício da aceleração do desenvolvimento e do lançamento de aplicações. Nossas conclusões mostram que o que ocorre nas etapas de compilação e implantação tem um impacto significativo na segurança, fato evidenciado pela prevalência de configurações incorretas e vulnerabilidades em diversas organizações Portanto, a segurança deve ser introduzida mais cedo nos fluxos de trabalho de DevOps, em vez de apenas anexada quando a aplicação está prestes a ser implantada no ambiente de produção.
Faça o download dos resultados completos da pesquisa e as principais conclusões.