Un nouveau rapport de Red Hat indique que Kubernetes continue d’tre un cauchemar de scurit parce qu’il est « extrmement » complexe utiliser et que les personnes charges de les configurer ont du mal s’en sortir. L’entreprise a interrog 300 professionnels du dveloppement, de l’ingnierie et de la scurit pour ce document, et a constat que 55 % d’entre eux ont report le lancement d’une application en raison de problmes de scurit. Presque tous (93 %) ont connu au moins un incident de scurit dans leur environnement Kubernetes au cours des 12 derniers mois, et un tiers (31 %) ont subi une perte de revenus ou de clients.
Kubernetes, galement connu sous le nom de K8s, est un systme open source permettant de grer des applications conteneurises sur plusieurs htes. Il fournit des mcanismes de base pour le dploiement, la maintenance et la mise l’chelle des applications. Dvelopp par Google, Kubernetes est hberg par la Cloud Native Computing Foundation (CNCF). Kubernetes est la norme de facto en matire d’orchestration et de gestion des conteneurs l’chelle, mais son adoption n’est qu’un lment de la stratgie Kubernetes. La scurit joue un rle important dans la faon dont les entreprises utilisent les technologies natives du cloud.
La scurit est gnralement beaucoup plus dlicate grer que la simple mise en place et l’excution de conteneurs. Le rapport « The State of Kubernetes Security for 2022 » de Red Hat examine les dfis de scurit auxquels les entreprises continuent d’tre confrontes en matire de dveloppement cloud-native et la manire dont elles les relvent pour protger leurs applications et leurs environnements. Il s’appuie sur des enqutes menes auprs de plus de 300 professionnels du DevOps, de l’ingnierie et de la scurit, soulignant la faon dont les entreprises adoptent les conteneurs et K8s tout en quilibrant la scurit de ces environnements.
Le rapport indique que les proccupations concernant les menaces de scurit pour les conteneurs et le manque d’investissement dans la scurit des conteneurs sont la premire proccupation la plus courante en matire de stratgies de conteneurs pour 31 % des personnes interroges. Ces proccupations sont renforces par le fait que 93 % des personnes interroges auraient connu au moins un incident de scurit dans leurs environnements Kubernetes au cours des 12 derniers mois, l’incident ayant parfois entran une perte de revenus ou de clients.
Plus de la moiti des rpondants (55 %) ont galement d retarder le dploiement d’une application en raison de problmes de scurit au cours de l’anne coule. En outre, le rapport indique que malgr l’attention considrable porte par les mdias aux cyberattaques, ce sont en fait les erreurs de configuration qui empchent les professionnels de l’informatique de dormir la nuit. Kubernetes est hautement personnalisable, avec diverses options de configuration qui peuvent affecter la posture de scurit d’une application. Une mauvaise configuration peut exposer les donnes de l’entreprise des acteurs malveillants.
Par consquent, les personnes interroges s’inquitent le plus des expositions dues des configurations errones dans leurs environnements de conteneurs et de Kubernetes (46 %), soit prs de trois fois le niveau d’inquitude concernant les attaques (16 %). L’automatisation de la gestion de la configuration, dans la mesure du possible, contribue attnuer ces problmes, de sorte que les outils de scurit – plutt que les humains – fournissent les garde-fous qui aident les dveloppeurs et les quipes DevOps configurer les conteneurs et Kubernetes de manire plus scurise.
Kubernetes est si facile utiliser qu’une entreprise qui se consacre uniquement la rsolution des problmes qu’il pose a lev 67 millions de dollars , s’est amus Corey Quinn, conomiste en chef de la socit de conseil en informatique The Duckbill Group, dans un tweet publi lundi, faisant rfrence l’investissement dans une startup appele Komodor. Les consquences de la complication du logiciel sont visibles dans les difficults rapportes par ceux qui l’utilisent. Une telle complexit favorise l’erreur humaine et conduit un grand nombre de mises en uvre maladroites du logiciel, dans une certaine mesure.
Le rapport de Red Hat indique que « l’erreur humaine a t un facteur dterminant dans 95 % des violations », citant un rapport du Forum conomique mondial selon lequel « 95 % des problmes de cyberscurit peuvent tre attribus l’erreur humaine ». Ce rapport cite son tour un article du Forum conomique mondial qui affirme que « des tudes montrent que 95 % des problmes de cyberscurit peuvent tre attribus une erreur humaine » – sans citer d’tudes spcifiques. Quel que soit le chiffre pertinent, des personnes sont impliques un moment ou un autre et elles ne grent pas trs bien la complexit.
Ainsi, selon Ajmal Kohgadai, responsable du marketing produit chez Red Hat, les utilisateurs de Kubernetes ont tendance s’inquiter davantage des fautes de frappe que des pirates informatiques. La rponse de Red Hat ce problme est d’automatiser autant que possible la gestion de la configuration afin de rduire l’impact de l’erreur humaine. cette fin, Red Hat travaille sur l’outil « Advanced Cluster Security (ACS) for Kubernetes », acquis l’anne dernire via le rachat de StackRox, et a publi le logiciel en open source sous le nom de la socit qui l’a fabriqu.
Le projet StackRox vise aider simplifier DevSecOps en intgrant des capacits de scurit dans le cycle de vie du dveloppement et du dploiement, dplaant effectivement la scurit des applications « vers la gauche » dans la cration de logiciels , a dclar Red Hat. Le logiciel analyse les environnements de conteneurs la recherche de risques, prsente des alertes et offre des recommandations pour amliorer la scurit. Mais avant que les entreprises puissent automatiser Kubernetes, elles ont besoin de personnes qui savent ce qu’elles font pour crire les scripts et les fichiers de configuration.
Kubernetes et les conteneurs, bien que puissants, ont t conus pour la productivit des dveloppeurs, pas ncessairement pour la scurit. Les paramtres rseau par dfaut de pod pod, par exemple, permettent une communication ouverte pour rendre un cluster rapidement oprationnel, au dtriment du renforcement de la scurit , indique le rapport. Trouver des personnes pour le faire s’avre tre le principal point faible de Kubernetes, cit par 30 % des rpondants l’enqute : Nous manquons de talents internes pour l’utiliser son plein potentiel , a dclar un utilisateur.
Cependant, cela ne nuit pas l’image ou la popularit de Kubernetes. Selon le rapport de la Cloud Native Computing Foundation de l’anne dernire, le logiciel libre d’orchestration de conteneurs est utilis, ou envisag, par 96 % des organisations.
Source : The State of Kubernetes Security in 2022
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de Kubernetes ? Le trouvez-vous complexe ?
L’utilisez-vous ? Si oui, comment faites-vous pour minimiser les erreurs de configuration ?
Voir aussi