Venafi’ye göre, modern kuruluşlar rekabet üstünlüğünü korumak için yüksek düzeyde ölçeklenebilir, esnek ve dayanıklı uygulamalara doğru evriliyor ve bu da Kubernetes gibi bulut tabanlı teknolojilerin yaygın şekilde benimsenmesine yol açıyor.
Bulut yerel ortamlarındaki güvenlik zorlukları
Aslında güvenlik ve BT liderlerinin %84’ü Kubernetes’in yakında tüm uygulamaları geliştirmek için kullanılan ana platform olacağına inanıyor. Ancak bu modern ortamlara geçiş telaşının ortasında, birçok geliştirme ekibi güvenliği ikinci plana atıyor ve hain siber suçlular için yeni riskler ve fırsatlar yaratıyor.
Venafi’nin araştırması, kuruluşların güvenlik söz konusu olduğunda bulut tabanlı ortamların benzersiz riskleriyle boğuştuğunu ortaya çıkardı; ankete katılanların dörtte üçü, maliyetler ve güvenlik açısından bulut hesaplamasına doğru ilerlediğimize inandıklarını bildirdi.
Venafi’nin ekosistem ve topluluktan sorumlu başkan yardımcısı Kevin Bocek, “Hız ve güvenliği dengelemek kolay bir iş değil, ancak günümüzün organizasyonları için bir zorunluluktur” dedi. “Güvenlik ve platform ekiplerinin bulutta yerel güvenliği doğru şekilde sağlaması kritik önem taşıyor; bulutta herhangi bir çevre veya fişi çekme yoktur. O halde bulut yerel güvenliğinin temeli, güçlü makine kimlik yönetimidir. TLS, SPIFFE gibi makine kimlikleri ve kod imzalama sertifikaları olmasaydı, bir bulutun diğerindeki kimliğini doğrulayamaz veya bir konteyneri diğerinden yetkilendiremezdik. Venafi’nin yeni araştırmasından elde edilen bulgular, kuruluşların bu modern mimarilerin getirdiği taleplere ve risklere hazırlıklı olmadığını gösteriyor.”
Kubernetes’te güvenlikle ilgili sorunlar
Kuruluşlar buluta geçiyor ancak bunu, bulut yerel güvenliğini önceden düşünmeden körü körüne yapıyorlar. Güvenlik ve BT liderlerinin %87’si eski uygulamaları buluta taşımaya başladı; ancak bu liderlerin %59’u ilgili güvenlik risklerini anlamadı.
Aslında katılımcıların %59’u Kubernetes veya konteyner ortamlarında güvenlikle ilgili sorunlar yaşadıklarını itiraf ediyor. Üstelik katılımcıların dörtte üçü Kubernetes ve konteynerlerin hızı ve karmaşıklığının güvenlik konusunda yeni kör noktalar yarattığını kabul etti.
Ankete katılanların %33’ü güvenlik sorunları nedeniyle uygulamanın başlatılmasını geciktirirken, %32’si uygulama hizmetlerinde kesinti yaşadı. Güvenlik ve BT liderleri, Kubernetes ve konteyner güvenliği sorunlarının ana nedenlerini ağ ihlalleri (%42), API güvenlik açıkları (%41) ve hatalı sertifika yapılandırması (%39) olarak belirtiyor.
Bulut yerel güvenliğinin sahipliğinin belirsiz olması
Bu bulutta yerel güvenlik sorunlarının kabul edilmesine rağmen, sahiplik konusunda baştan sona net tanımlamaların olması gerekir. Örneğin, güvenlik ekiplerinin %85’i, bulutta yerel ortamlarda güvenlik riskini ve yönetişimi yönetme stratejisini belirlediğini bildiriyor.
Ancak güvenlik araçlarının, yönetiminin ve politikalarının fiili uygulaması geliştirme, güvenlik ve platform ekipleri arasında bölünmüş durumda ve küçük bir çoğunluk (%41) geliştirme ekiplerine gidiyor.
Dahası, ankete katılanların %74’ü, geliştiricilerin birbiriyle çelişen çeşitli önceliklerle karşı karşıya kaldığından, dolayısıyla güvenliğin her zaman ilk sırada yer almadığından endişe ediyor. Son olarak %90’ı, uygulamaların güvenli olmasını sağlamak için güvenlik ekiplerinin bulut yerel ortamlarına ilişkin anlayışlarını artırmaları gerektiğine inanıyor.
Makine kimliklerinin daha iyi yönetilmesinin hız ve güvenlik arasındaki dengenin çözülmesine yardımcı olabileceği açıktır. Örneğin, güvenlik ve BT liderlerinin %70’i yazılım tedarik zinciri saldırılarının en büyük güvenlik kör noktaları olduğuna inanıyor.
Ayrıca %85’i, CI/CD hattında sürekli güvenlik doğrulamasının, yazılım geliştirme yaşam döngüsü sırasında güvenlik açıklarının tespit edilememesi riskini azaltmak açısından hayati önem taşıdığına inanıyor.
%61’i Kubernetes ve hizmet ağında ihtiyaç duyulan hızda sertifika düzenleyemediklerini kabul ediyor. Son olarak %88’i makine kimlik yönetiminin sıfır güven modellerinin başarısı için gerekli olduğuna inanıyor.