Plus la popularité de Kubernetes augmente, plus les outils et la planification de la sécurité sont importants. C’est l’une des conclusions du dernier rapport « State of Kubernetes Security for 2024 » commandité par Red Hat.
89 % des organisations dans le monde ont connu au moins un incident de sécurité avec des conteneurs au cours de l’année écoulée ! Environ la moitié (46 %) des organisations dans le monde ont perdu des revenus ou des clients l’année dernière à la suite d’un incident de sécurité, précise Red Hat. Dans 30 % des cas, l’entreprise a été sanctionnée par une amende. Le rapport -réalisé après avoir interrogé 600 professionnels du DevOps- montre qu’à mesure que Kubernetes continue de gagner en popularité, une bonne planification et de bons outils de sécurité deviennent cruciaux.
Kubernetes et les conteneurs ajoutent de nouvelles couches logicielles qui augmentent la complexité globale. Cela entraîne également des risques de sécurité pour les infrastructures critiques. En ce qui concerne les risques liés aux environnements de conteneurs, les spécialistes de l’informatique s’inquiètent surtout d’une vulnérabilité dans les environnements (33 %). Suivent les mauvaises configurations (27 %) et les attaques externes (24 %). En ce qui concerne le type de danger spécifique, les informaticiens s’inquiètent le plus souvent des erreurs de codage (36 %), des données sensibles rendues publiques (34 %) et d’une mauvaise sécurité du réseau (32 %).
Sécurité native
Pour sécuriser Kubernetes, les équipes ont le choix entre deux approches, rappelle Red Hat. La première approche est la sécurité centrée sur les conteneurs, qui privilégie la sécurisation des images de conteneurs et de l’exécution de conteneurs. La seconde approche, plus large, est la sécurité native pour Kubernetes, qui repose sur l’extraction du contexte de Kubernetes et l’utilisation des contrôles intégrés pour mettre en œuvre les meilleures pratiques de sécurité basées sur les risques dans l’ensemble du cycle de développement de l’application.
La sécurité native pour Kubernetes s’attaque également aux risques et aux vulnérabilités spécifiques : politiques mal configurées en matière de contrôle d’accès basé sur les rôles de Kubernetes, composants du plan de contrôle de Kubernetes non sécurisés et secrets de Kubernetes utilisés à mauvais escient.
Responsabilité partagée
In fine, un peu moins de la moitié des personnes interrogées (42 %) déclarent que leur entreprise n’investit pas suffisamment dans la sécurité des conteneurs. La sécurité est également souvent perçue comme une responsabilité partagée : chez seulement une entreprise sur trois (34%), l’équipe de sécurité est responsable de la sécurisation de Kubernetes. Dans la moitié des cas (50 %), cette responsabilité incombe principalement aux équipes opérationnelles, à savoir Ops (18 %), DevOps (17 %) et DevSecOps (15 %)