Unternehmen betrachten die Sicherheit als grösste Herausforderung bei der Einführung von Containern und der Nutzung von Kubernetes sowie Cloud-nativen Technologien.
So lautet ein zentrales Ergebnis der Untersuchung «State of Kubernetes Security 2022», die Red Hat durchgeführt hat. Befragt wurden dabei mehr als 300 DevOps-Experten, Entwickler und Sicherheitsverantwortliche, wie das Unternehmen mitteilt.
Konkret haben laut Red Hat 31 Prozent der Befragten Sicherheitsbedenken bei der Umsetzung von Container-Strategien. Ein Grund dafür sei, dass 93 Prozent von ihnen in den letzten zwölf Monaten mindestens einen Sicherheitsvorfall in ihren Kubernetes-Umgebungen hatten. Ausserdem hätten 55 Prozent angegeben, sie mussten den Rollout von Kubernetes-Applikationen aus Sicherheitsgründen verschieben.
Kubernetes anforderungsspezifisch anpassbar
Fehlkonfigurationen in den Container- und Kubernetes-Umgebungen seien dabei für 46 Prozent der Teilnehmerinnen und Teilnehmer das Hauptproblem. Schliesslich sei Kubernetes in hohem Masse anforderungsspezifisch anpassbar, wobei die zahlreichen Konfigurationsoptionen auch Auswirkungen auf die Sicherheit einer Anwendung haben könnten. Eine möglichst weitgehende Automatisierung des Konfigurationsmanagements unter Nutzung von Security-Tools helfe, diese Probleme zu entschärfen.
Die Untersuchung habe darüber hinaus gezeigt, dass DevSecOps immer mehr zum Standard in Unternehmen wird. So verfolgten bereits 78 Prozent der Befragten eine DevSecOps-Initiative. Eine Zusammenarbeit zwischen Entwicklungs-, Betriebs- und Sicherheitsteams bei der Implementierung von Security in einem frühen Zeitpunkt im Entwicklungszyklus sei gerade auch im Kubernetes-Kontext sehr wichtig. So könnten Unternehmen den grösstmöglichen Nutzen aus Kubernetes ziehen, das heisst schnelle Innovationen ohne Verzögerungen.
In der Vergangenheit war laut Mitteilung für die Sicherheit ein spezifisches Team in der Endphase der Entwicklung verantwortlich. Als die Entwicklungszyklen noch Monate oder sogar Jahre dauerten, sei kein Problem gewesen. Bei den heutigen schnellen Release-Zyklen müsse die Sicherheit allerdings bereits in die DevOps-Workflows eingebettet sein. Und die befragten Unternehmen gingen verstärkt diesen Weg. Nur noch 22 Prozent von ihnen betrieben DevOps weiterhin getrennt von der IT-Security. Und lediglich 16 Prozent erklärten, dass das zentrale IT-Security-Team auch die Verantwortung für die Kubernetes-Sicherheit trage.
