Le rapport de Red Hat sur la sécurité de Kubernetes révèle que l'homme est le problème,

L'entreprise estime que la complexité de Kubernetes déconcerte le cerveau humain

Le rapport de Red Hat sur la sécurité de Kubernetes révèle que l'homme est le problème
l'entreprise estime que la complexité de Kubernetes déconcerte le cerveau humain

Un nouveau rapport de Red Hat indique que Kubernetes continue d'être un cauchemar de sécurité parce qu'il est "extrêmement" complexe à utiliser et que les personnes chargées de les configurer ont du mal à s'en sortir. L'entreprise a interrogé 300 professionnels du développement, de l'ingénierie et de la sécurité pour ce document, et a constaté que 55 % d'entre eux ont reporté le lancement d'une application en raison de problèmes de sécurité. Presque tous (93 %) ont connu au moins un incident de sécurité dans leur environnement Kubernetes au cours des 12 derniers mois, et un tiers (31 %) ont subi une perte de revenus ou de clients.

Kubernetes, également connu sous le nom de K8s, est un système open source permettant de gérer des applications conteneurisées sur plusieurs hôtes. Il fournit des mécanismes de base pour le déploiement, la maintenance et la mise à l'échelle des applications. Développé par Google, Kubernetes est hébergé par la Cloud Native Computing Foundation (CNCF). Kubernetes est la norme de facto en matière d'orchestration et de gestion des conteneurs à l'échelle, mais son adoption n'est qu'un élément de la stratégie Kubernetes. La sécurité joue un rôle important dans la façon dont les entreprises utilisent les technologies natives du cloud.

La sécurité est généralement beaucoup plus délicate à gérer que la simple mise en place et l'exécution de conteneurs. Le rapport "The State of Kubernetes Security for 2022" de Red Hat examine les défis de sécurité auxquels les entreprises continuent d'être confrontées en matière de développement cloud-native et la manière dont elles les relèvent pour protéger leurs applications et leurs environnements. Il s'appuie sur des enquêtes menées auprès de plus de 300 professionnels du DevOps, de l'ingénierie et de la sécurité, soulignant la façon dont les entreprises adoptent les conteneurs et K8s tout en équilibrant la sécurité de ces environnements.


Le rapport indique que les préoccupations concernant les menaces de sécurité pour les conteneurs et le manque d'investissement dans la sécurité des conteneurs sont la première préoccupation la plus courante en matière de stratégies de conteneurs pour 31 % des personnes interrogées. Ces préoccupations sont renforcées par le fait que 93 % des personnes interrogées auraient connu au moins un incident de sécurité dans leurs environnements Kubernetes au cours des 12 derniers mois, l'incident ayant parfois entraîné une perte de revenus ou de clients.

Plus de la moitié des répondants (55 %) ont également dû retarder le déploiement d'une application en raison de problèmes de sécurité au cours de l'année écoulée. En outre, le rapport indique que malgré l'attention considérable portée par les médias aux cyberattaques, ce sont en fait les erreurs de configuration qui empêchent les professionnels de l'informatique de dormir la nuit. Kubernetes est hautement personnalisable, avec diverses options de configuration qui peuvent affecter la posture de sécurité d'une application. Une mauvaise configuration peut exposer les données de l'entreprise à des acteurs malveillants.

Par conséquent, les personnes interrogées s'inquiètent le plus des expositions dues à des configurations erronées dans leurs environnements de conteneurs et de Kubernetes (46 %), soit près de trois fois le niveau d'inquiétude concernant les attaques (16 %). L'automatisation de la gestion de la configuration, dans la mesure du possible, contribue à atténuer ces problèmes, de sorte que les outils de sécurité - plutôt que les humains - fournissent les garde-fous qui aident les développeurs et les équipes DevOps à configurer les conteneurs et Kubernetes de manière plus sécurisée.


« Kubernetes est si facile à utiliser qu'une entreprise qui se consacre uniquement à la résolution des problèmes qu'il pose a levé 67 millions de dollars », s'est amusé Corey Quinn, économiste en chef de la société de conseil en informatique The Duckbill Group, dans un tweet publié lundi, faisant référence à l'investissement dans une startup appelée Komodor. Les conséquences de la complication du logiciel sont visibles dans les difficultés rapportées par ceux qui l'utilisent. Une telle complexité favorise l'erreur humaine et conduit à un grand nombre de mises en œuvre maladroites du logiciel, dans une certaine mesure.

Le rapport de Red Hat indique que "l'erreur humaine a été un facteur déterminant dans 95 % des violations", citant un rapport du Forum économique mondial selon lequel "95 % des problèmes de cybersécurité peuvent être attribués à l'erreur humaine". Ce rapport cite à son tour un article du Forum économique mondial qui affirme que "des études montrent que 95 % des problèmes de cybersécurité peuvent être attribués à une erreur humaine" - sans citer d'études spécifiques. Quel que soit le chiffre pertinent, des personnes sont impliquées à un moment ou à un autre et elles ne gèrent pas très bien la complexité.

Ainsi, selon Ajmal Kohgadai, responsable du marketing produit chez Red Hat, les utilisateurs de Kubernetes ont tendance à s'inquiéter davantage des fautes de frappe que des pirates informatiques. La réponse de Red Hat à ce problème est d'automatiser autant que possible la gestion de la configuration afin de réduire l'impact de l'erreur humaine. À cette fin, Red Hat travaille sur l'outil "Advanced Cluster Security (ACS) for Kubernetes", acquis l'année dernière via le rachat de StackRox, et a publié le logiciel en open source sous le nom de la société qui l'a fabriqué.


« Le projet StackRox vise à aider à simplifier DevSecOps en intégrant des capacités de sécurité dans le cycle de vie du développement et du déploiement, déplaçant effectivement la sécurité des applications "vers la gauche" dans la création de logiciels », a déclaré Red Hat. Le logiciel analyse les environnements de conteneurs à la recherche de risques, présente des alertes et offre des recommandations pour améliorer la sécurité. Mais avant que les entreprises puissent automatiser Kubernetes, elles ont besoin de personnes qui savent ce qu'elles font pour écrire les scripts et les fichiers de configuration.

« Kubernetes et les conteneurs, bien que puissants, ont été conçus pour la productivité des développeurs, pas nécessairement pour la sécurité. Les paramètres réseau par défaut de pod à pod, par exemple, permettent une communication ouverte pour rendre un cluster rapidement opérationnel, au détriment du renforcement de la sécurité », indique le rapport. Trouver des personnes pour le faire s'avère être le principal point faible de Kubernetes, cité par 30 % des répondants à l'enquête : « Nous manquons de talents internes pour l'utiliser à son plein potentiel », a déclaré un utilisateur.

Cependant, cela ne nuit pas à l'image ou à la popularité de Kubernetes. Selon le rapport de la Cloud Native Computing Foundation de l'année dernière, le logiciel libre d'orchestration de conteneurs est utilisé, ou envisagé, par 96 % des organisations.

Source : The State of Kubernetes Security in 2022

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de Kubernetes ? Le trouvez-vous complexe ?
L'utilisez-vous ? Si oui, comment faites-vous pour minimiser les erreurs de configuration ?

Voir aussi

Lacework intègre des fonctionnalités de Kubernetes à la plateforme de données Polygraph pour renforcer la sécurité dans les environnements multi-clouds

Canonical introduit Micro-Kubernetes à haute disponibilité, un cluster Kubernetes léger pour les postes de travail, les appareils IdO et l'Edge Computing

L'adoption de Kubernetes par les développeurs est en hausse et le serverless en baisse, selon une enquête du Cloud Native Computing Foundation

La NSA et la CISA des États-Unis publient un guide pour renforcer la sécurité des clusters Kubernetes, en vue d'aider les entreprises à rendre leurs infrastructures plus résilientes