Un informe sobre el estado de la seguridad nativa de la nube encontró que un número significativo de quienes adoptan la nube no comprenden los riesgos de seguridad que implica trasladar aplicaciones existentes a la nube, poniéndose en riesgo. una serie de ataques basados ​​en la nube. Para su encuesta, la empresa Venafi, especializada en ciberseguridad, encuestó a 800 responsables de seguridad y TI que trabajan para empresas ubicadas en Estados Unidos, Reino Unido, Alemania y Francia. El objetivo del estudio fue examinar las principales amenazas y desafíos que enfrenta la seguridad nativa de la nube en la actualidad.

"Los equipos de desarrollo de aplicaciones se están moviendo cada vez más rápido para mantener sus negocios a la vanguardia, recurriendo a estrategias de contenerización y microservicios que hacen realidad la rápida mejora de las aplicaciones", dice el informe de Venafi. "Muy a menudo, la seguridad nativa de la nube se queda atrás y la responsabilidad de respaldar la función de seguridad dentro de los equipos de ingeniería, plataforma y desarrollo sigue sin estar clara". El informe señala que esta falta de claridad es un gran problema cuando se trata de proteger las identidades de las máquinas (los autenticadores que aseguran las comunicaciones y conexiones dentro de un clúster de contenedores) porque sirven como base para la seguridad nativa de la nube. “A pesar de su relativa importancia, la aplicación de identidades de máquinas en implementaciones nativas de la nube (mallas de servicios, seguridad del ciclo de vida del desarrollo de software y firma de código de artefactos de desarrollo) con frecuencia se malinterpreta”, agrega el informe.

Índice
  1. Impactos en costos y seguridad
  2. Más desafíos con Kubernetes

Impactos en costos y seguridad

Los encuestados en el estudio revelaron que se están migrando rápidamente a la nube para deshacerse de los largos ciclos de desarrollo y lanzamiento de aplicaciones porque no pueden darse el lujo de esperar por nuevas características críticas. El 87% de los encuestados dijeron que trasladaron sus aplicaciones heredadas a la nube. Más de la mitad (59%) de los encuestados dijeron que no comprenden los riesgos de seguridad de trasladar las aplicaciones existentes a la nube. Además, el 53% de los encuestados admitió que simplemente trasladaron sus aplicaciones a la nube, dejando la mayor parte del código de la aplicación sin cambios.

Otra desventaja de pasarse a ciegas a la nube: el coste asociado a la operación. "El 52% de las empresas ha sufrido la proliferación de la nube y menores costos de facturación desde que trasladaron sus aplicaciones existentes a la nube", dice el informe. "El 77% de los que sufrieron han reconsiderado trasladar sus aplicaciones a la nube". Otra tendencia clave destacada por el estudio es que la carrera hacia la nube ha hecho que la contenedorización sea una opción popular entre los desarrolladores, y el 84% de los encuestados cree que Kubernetes pronto será la plataforma principal utilizada para desarrollar todas las aplicaciones. Sin embargo, a medida que aumenta y madura el uso de Kubernetes, la complejidad de las estrategias nativas de la nube se vuelve más evidente.

Más desafíos con Kubernetes

Los encuestados coincidieron en cierto grado de incertidumbre en lo que respecta a la adopción de Kubernetes, y el 75 % cree que la velocidad y la complejidad de Kubernetes y los contenedores crean puntos ciegos de seguridad. Otros problemas principales de contenedorización incluyen dificultades para aplicar parches (43%), vulnerabilidades causadas por configuraciones incorrectas (41%), interrupciones debido a certificados mal administrados (32%) y auditorías de seguridad fallidas (22%). El 59 % de los encuestados informaron haber experimentado problemas de seguridad en Kubernetes o entornos de contenedores. Las principales causas de estos problemas son las violaciones de la red (42%), las vulnerabilidades de API (41%) y la mala configuración de los certificados (39%). Se descubrió que la mala configuración de los certificados (un desafío a la identidad de las máquinas) era una preocupación mayor en EE. UU., con un 45%.

Además, el 68% de los encuestados dijo que los desarrolladores a veces no utilizan certificados porque su emisión ralentiza el proceso de desarrollo. A pesar de los desafíos relacionados con las identidades de las máquinas, el 88% cree que el concepto de identidad de las máquinas es esencial para el éxito de los modelos de confianza cero. Sin embargo, la propiedad de la gestión de identidades de las máquinas aún no está clara, ya que al 74% de los encuestados les preocupa que los desarrolladores enfrenten múltiples prioridades en conflicto, por lo que la seguridad no siempre es una de sus principales preocupaciones.