Red Hat, Anbieter von Open-Source-Lösungen, präsentierte einen Bericht zu den Sicherheitsherausforderungen, die Unternehmen bei der Nutzung von Kubernetes, Containern und Cloud-nativen Techniken begegnen. Für die Untersuchung „State of Kubernetes Security" hat das von Red Hat übernommene Unternehmen StackRox mehr als 500 DevOps-Fachleute und Sicherheitsverantwortliche befragt.
Ein zentrales Ergebnis ist, dass die Sicherheitsbedenken trotz der zunehmenden Kubernetes-Einführung bestehen bleiben. Es ist insofern nicht überraschend, als 94 Prozent einen Sicherheitsvorfall in ihren Kubernetes- und Container-Umgebungen in den letzten zwölf Monaten verzeichnen mussten. 55 Prozent mussten zudem die Produktivnahme von Kubernetes-Applikationen aus Sicherheitsgründen verschieben.
Menschliche Fehler sind die am häufigsten genannte Ursache für Sicherheitsverletzungen. Fast 60 Prozent der Befragten gaben an, dass sie in den letzten zwölf Monaten einen Vorfall mit Fehlkonfigurationen in ihren Umgebungen hatten. Das Konfigurations-Management stellt für die Sicherheitsfachleute generell eine der größten Herausforderungen dar. Während für das Vulnerability-Scanning von Container-Images eine Vielzahl von Tools zur Verfügung steht, ist das Konfigurations-Management eine komplexere Aufgabe. Man sollte es deshalb so weit wie möglich unter Nutzung von Sicherheits-Tools automatisieren, so der Rat von Red Hat.
Die Studie hat auch gezeigt, dass DevSecOps nicht mehr nur ein Schlagwort ist. Die überwiegende Mehrheit der Befragten hat bereits DevSecOps-Prozesse umgesetzt. Nur 26 Prozent der Befragten betreiben DevOps weiterhin getrennt von der Security.
Als weiteres positives Ergebnis der Untersuchung fällt auf, dass 67 Prozent zumindest eine Basis-Sicherheitsstrategie im Kubernetes-Umfeld verfolgen. Nur sieben Prozent haben keine derartige Strategie. Trotz dieser Daten sollten Unternehmen weiter verstärkt Sicherheitsinitiativen ergreifen, um die Herausforderungen rund um die Container-Security und das Compliance-Management adäquat zu adressieren, kommentierte Red Hat. So sollen Unternehmen etwa die umfangreichen deklarativen Daten und nativen Kontrollen in Kubernetes nutzen können, um die Sicherheit zu verbessern. Die Analyse der in Kubernetes verfügbaren deklarativen Daten bietet risikobasierte Einblicke in Bereiche wie Konfigurations-Management, Compliance, Segmentierung und Kubernetes-spezifische Schwachstellen.