Relatório: adoção do Kubernetes, segurança e tendências do mercado em 2023

A edição de 2023 do relatório Estado da Segurança do Kubernetes mergulha nas descobertas de nossa pesquisa anual sobre segurança nativa da nuvem, focando nas cargas de trabalho em containers e no Kubernetes. Este relatório se baseia em uma pesquisa com 600 profissionais de DevOps, engenharia e segurança de todo o mundo, abrangendo grandes empresas e pequenas e médias organizações. O estudo revela alguns dos desafios de segurança mais comuns enfrentados pelas empresas durante a sua jornada de adoção das tecnologias nativas em nuvem e seus efeitos nos negócios.

Nossa pesquisa descobriu que 67% dos entrevistados tiveram que atrasar ou desacelerar a implantação de aplicações devido a preocupações de segurança. Necessidades de segurança abrangendo todos os aspectos do ciclo de vida da aplicação, do desenvolvimento às fases de implantação e manutenção, podem sobrecarregar algumas empresas. Por isso, elas precisam simplificar a segurança das aplicações em containers, sem desacelerar o desenvolvimento nem aumentar a complexidade operacional.

Priorizar a segurança no início do processo é um investimento na proteção de ativos de negócios valiosos para empresa, como dados confidenciais, propriedade intelectual e informações dos clientes. Isso também ajuda a atender melhor aos exigências regulatórios, garantir continuidade dos negócios, manter a confiança do cliente e reduzir os custos de longo prazo com a correção de problemas de segurança num estágio mais avançado do ciclo de vida do desenvolvimento ou depois que eles já tenham sido explorados.  

Problemas de segurança podem ocasionar sérios impactos nos negócios. Na pesquisa, 21% dos entrevistados disseram que um incidente de segurança levou ao desligamento de funcionário e 25% revelaram que a organização foi multada. Outro possível impacto negativo dos incidentes de segurança com containers e Kubernetes é a desaceleração do crescimento dos negócios. Dentre os entrevistados, 37% identificaram a perda de receita/clientes como resultado de um incidente desse tipo. Violações de segurança podem gerar atrasos em projetos importantes ou lançamentos de produtos, já que as empresas precisam priorizar os esforços para resolver as vulnerabilidades negligenciadas na etapa de desenvolvimento. Esse atraso pode ter um efeito cascata nos negócios, resultando na perda de receita, insatisfação do cliente ou até mesmo perda de participação no mercado para a concorrência. Além disso, incidentes de segurança podem levar à perda de clientes se eles perderem a confiança na capacidade da empresa de proteger seus dados, estimulando-os a buscar concorrentes com melhor histórico de segurança.

Em vez de processos independentes, a maioria das empresas adota o DevSecOps, termo que designa o uso de processos e ferramentas para incorporar a segurança no ciclo de vida de desenvolvimento das aplicações. No entanto, os 17% das organizações que não adotam quaisquer iniciativas de DevSecOps e operam a segurança de maneira independente do DevOps podem estar ignorando os benefícios de integrar a segurança no SDLC, como o incremento na eficiência, velocidade e qualidade na entrega de software.

Mais de 50% dos entrevistados se preocupam com erros de configuração e vulnerabilidades devido à alta capacidade de personalização dos containers e do Kubernetes. A manutenção de uma postura de segurança consistente é dificultada por três fatores: ambientes dinâmicos onde os containers operam, o uso de muitos componentes fornecidos por terceiros e o compartilhamento de recursos como o kernel do sistema operacional do host. Somados, esses fatores tornam a gestão das configurações de segurança e a detecção e mitigação de vulnerabilidades uma tarefa particularmente desafiadora, fazendo dela o que mais preocupa os participantes da nossa pesquisa. 

A segurança da cadeia de fornecimento de software é um assunto muito discutido, a medida que os volume de ataques cresce rapidamente. A pesquisa indica que os entrevistados estão preocupados, principalmente, com as vulnerabilidades de software e o uso de software open source na cadeia de fornecimento. A preocupação com vulnerabilidades de software é justificada, pois elas têm o potencial de causar graves incidentes de segurança, tais como violações de dados, infecções por malware e acessos não autorizados. O uso do open source representa um desafio de segurança para as cadeias de fornecimento de software, uma vez que esse tipo de tecnologia é amplamente utilizada no desenvolvimento moderno e pode introduzir riscos de segurança se contiver vulnerabilidades ou não receber a manutenção adequada.

Quando a segurança é deixada em segundo plano e as organizações não garantem que seus ambientes nativos da nuvem sejam construídos, implantados e gerenciados de forma segura, elas colocam em risco o principal benefício da aceleração do desenvolvimento e do lançamento de aplicações. Nossas conclusões mostram que o que ocorre nas etapas de compilação e implantação tem um impacto significativo na segurança, fato evidenciado pela prevalência de configurações incorretas e vulnerabilidades em diversas organizações Portanto, a segurança deve ser introduzida mais cedo nos fluxos de trabalho de DevOps, em vez de apenas anexada quando a aplicação está prestes a ser implantada no ambiente de produção. 

Faça o download dos resultados completos da pesquisa e as principais conclusões.