Il rapporto Kubernetes rileva un aumento dei carichi di lavoro mal configurati

Fairwinds, un fornitore di software Kubernetes, ha pubblicato il Kubernetes Benchmark Report 2023. Il rapporto mostra una tendenza generale al peggioramento dei problemi di configurazione nelle organizzazioni intervistate. Ciò include l’aumento delle organizzazioni che eseguono carichi di lavoro che consentono l’accesso root, carichi di lavoro senza limiti di memoria impostati e carichi di lavoro interessati dalle vulnerabilità delle immagini.

L’anno scorso, il rapporto ha rilevato che, in generale, meno del 10% dei carichi di lavoro era influenzato da configurazioni scadenti o improprie. Quest’anno, hanno riscontrato che la diffusione è stata più varia nei domini di affidabilità, sicurezza e governance dei costi. Il rapporto ha fornito alcune ipotesi sul motivo per cui la tendenza generale anno su anno è verso carichi di lavoro configurati in modo più scadente:

È chiaro che i team DevOps sono in inferiorità numerica e dobbiamo fare di meglio come comunità per supportarli. Man mano che l’utilizzo di Kubernetes si espande, è più difficile per DevOps gestire i rischi di configurazione introdotti dai nuovi team.

Il rapporto ha esaminato oltre 150.000 carichi di lavoro in centinaia di organizzazioni. Hanno riscontrato un aumento del 22% rispetto allo scorso anno nei carichi di lavoro che consentono l’accesso root. Hanno anche visto un aumento dei carichi di lavoro potenzialmente influenzati dalle vulnerabilità delle immagini con il 25% delle organizzazioni che ha il 90% dei propri carichi di lavoro a rischio. Si tratta di un aumento di oltre il 200% rispetto al rapporto dello scorso anno.

Ciò è preoccupante poiché un recente rapporto di Orca Security ha rilevato che il percorso di attacco medio richiede solo tre passaggi per raggiungere dati o risorse business-critical. La combinazione dei privilegi di root con una potenziale vulnerabilità dell’immagine, come log4j, fornisce quel punto di ingresso iniziale. Il rapporto Orca Security ha rilevato che il 78% dei percorsi di attacco utilizza un exploit noto (CVE) come punto di accesso iniziale.

Il report di Fairwinds ha rilevato che le organizzazioni che hanno implementato i guardrail di Kubernetes in entrambi gli approcci shift-left o al momento dell’implementazione sono state in grado di correggere il 36% in più di problemi in cui le configurazioni di CPU e memoria mancavano rispetto alle organizzazioni senza guardrail. Inoltre, le organizzazioni che utilizzano guardrail hanno corretto il 15% in più di vulnerabilità dell’immagine rispetto a quelle che non le utilizzano.

Danielle Cook, vicepresidente marketing di Fairwinds, spiega che “[a]Con l’aumento dell’utilizzo di Kubernetes, è più difficile per i team DevOps gestire i rischi di configurazione introdotti dai nuovi team”. Ad aggravare questo problema c’è l’identificazione del team responsabile della creazione di questi limiti e la garanzia che la configurazione sia corretta. Un sondaggio di Armo ha rilevato che il 58% degli intervistati ritiene che i team DevSecOps debbano possedere queste soluzioni.Il rapporto ha inoltre rilevato che solo il 10% degli intervistati ritiene che i propri team siano esperti nella gestione della sicurezza dei propri ambienti Kubernetes.

Molti concordano sul fatto che sta diventando più difficile per i team comprendere e gestire tutti i rischi associati alle attività di sviluppo, all’infrastruttura e agli strumenti. Paula Kennedy, Chief Operating Officer di Syntasso, condivide l’impatto che questo pesante carico cognitivo può avere:

Questa è una lotta continua per chiunque cerchi di navigare in un panorama tecnico complesso. Ogni giorno vengono rilasciati nuovi strumenti e stare al passo con le nuove funzionalità, valutare gli strumenti, selezionare quelli giusti per il lavoro, per non parlare di capire come questi strumenti interagiscono tra loro e come potrebbero adattarsi al tuo stack tecnologico è un’attività travolgente.

Fairwinds riferisce che guardrail o percorsi asfaltati possono aiutare i team a seguire le migliori pratiche. Come osserva Kennedy, questi approcci aiutano “a semplificare il numero di strumenti offerti, a ridurre il carico cognitivo di troppe opzioni, nonché a ridurre il sovraccarico tecnico della piattaforma”.

Per ulteriori risultati dal Rapporto sul benchmark di Fairwinds Kubernetes 2023, gli utenti vengono indirizzati al sito di Fairwinds.

.

Leave a Comment

Your email address will not be published. Required fields are marked *