Red Hat 2023年Kubernetes安全性大調查探討企業在雲端原生開發領域具體面臨的安全挑戰,包括軟體供應鏈風險,以及如何減輕這些風險以保護其應用程式和IT環境。此報告針對全球600名DevOps、工程和安全性專業人員進行調查,揭示企業導入雲端原生過程中最常見的安全挑戰及其對業務的影響。
儘管Kubernetes為相對新興的技術,但由於容器調度平台已成為眾多數位轉型計畫的基石,Kubernetes採用率在過去幾年間成長顯著。不過,即使企業已習慣在生產環境中使用此技術,對於保護容器化工作負載的最佳方法仍有疑慮。Red Hat 2023年Kubernetes安全性大調查探討企業在雲端原生開發領域具體面臨的安全挑戰,包括軟體供應鏈風險,以及如何減輕這些風險以保護其應用程式和IT環境。
此報告針對全球600名DevOps、工程和安全性專業人員進行調查,揭示企業導入雲端原生過程中最常見的安全挑戰及其對業務的影響。報告中更提供最佳實踐與指引,協助應用程式開發和安全團隊降低安全風險。
安全投資與容器採用率不成比例
過去幾年,Red Hat持續觀察到安全仍為採用容器的最大顧慮之一,今年的調查結果也不例外。38%受訪者(較去年增加7%)表示安全措施並未受到應有的重視(圖1),或是相關投資尚嫌不足,顯示容器採用率即便持續成長,對應的安全投資卻未能跟上。
圖1 您對貴公司容器策略的最大顧慮為何?
雲端原生解決方案須搭配雲端原生安全性產品,通常(也應該)包括DevSecOps做法。IT團隊應著重選擇與採用能在CI/CD應用程式Pipeline和基礎架構流程中提供回饋和護欄(Guardrail)的安全工具,企業也須將此轉換納入其轉型計畫,而非僅依賴現有解決方案,因其通常需要大量客製或調整,才能滿足雲端原生運算的嚴格要求。
克服投資和採用率之間差距的最佳方法之一,即為選擇內建安全功能的雲端原生工具,而非僅將其視為附加功能。若能從作業系統基準到應用層,逐漸將安全性整合至解決方案,企業將不必透過另尋資金,以達成其最新技術對安全解決方案的需求。
資安疑慮阻礙業務成效
敏捷性是採用雲端原生技術的主因之一,而更快的上市時間、適應性和可靠性也是重要優勢,同時是企業IT基礎架構數位轉型的關鍵驅動力。然而,調查顯示67%受訪者因安全性考量不得不延遲或放緩應用程式部署,導致前述效益未能實現。有鑑於新技術常伴隨意想不到的資安挑戰,這項結果並不意外,不過企業仍應將安全視為成功採用技術的指標,而非危及雲端原生發展的障礙。
輕微延遲通常並非企業最擔心的雲端原生安全事故,調查指出其可能引發更嚴重的業務衝擊。21%受訪者經歷過資安事故導致員工遭解雇,25%受訪者的企業曾因此付出罰款。除了顯而易見的相關影響外,還可能會導致IT企業損失寶貴人才、知識與經驗。更甚者,因違反法規或資料外洩而面臨罰款的企業不但須承受沉重財務負擔,還有隨之而來的負面形象。
37%受訪者表示曾因容器和Kubernetes安全事故導致營收與客戶流失(圖2)。由於企業必須優先考慮安全措施,解決開發階段忽略的漏洞,可能因此延誤關鍵專案或產品發布,進而對業務造成連鎖反應,導致進一步的營收損失、客戶不滿,甚至將市占拱手讓人。這些事故還會削弱客戶對公司保護敏感資料能力的信任,甚至可能導致客戶全面流失。
圖2 過去12個月內,貴公司是否曾因容器、Kubernetes安全或合規事故經歷下列衝擊?
藉由將資安視為雲端原生策略的優先項目,企業開始針對保護商業資產進行投資,例如敏感資料、智慧財產權和客戶資訊,同時也能更貼近法遵需求、推動業務持續性、維持客戶信任,並降低日後解決安全問題的成本。
對軟體供應鏈安全的顧慮
軟體供應鏈安全目前受到前所未有的高度關注,此現象其來有自。根據軟體供應鏈管理公司Sonatype,過去三年軟體供應鏈攻擊年均成長率達742%(Sonatype,第八屆年度軟體供應鏈調查)。為了深入了解最讓IT領導者擔憂的特定供應鏈挑戰,Red Hat詢問受訪者各種與Kubernetes軟體供應鏈安全相關的問題,包括哪些事故最令人擔憂,以及他們過去一年是否曾經歷任何事故。
龐大且複雜的軟體供應鏈是容器化環境的代表現象,也體現於受訪者的前三大顧慮,包含容易出現漏洞的應用程式元件(32%)、存取控制不足(30%)以及缺乏軟體物料清單(SBOM)或出處(Provenance)證明(29%)。 令人較為擔憂的是逾半受訪者曾經歷Red Hat於調查中提出的幾乎所有問題,其中應用程式元件易出現漏洞、持續整合/持續交付(CI/CD)Pipeline安全缺陷是受訪者最常提及的兩大挑戰(圖3)。
圖3 貴公司最為關切下列哪個軟體供應鏈問題?貴公司在過去12個月內經歷過下列哪些軟體供應鏈安全問題?
同一時間,許多企業正積極採取行動,提供其軟體供應鏈更完善的保護。儘管軟體供應鏈安全性複雜又具備多面向,企業仍可透過全面的DevSecOps做法有效因應。將近一半受訪者的DevSecOps計畫處於進階階段,而39%受訪者了解DevSecOps的價值,並處於早期採用階段。
此外,藉由在軟體開發生命週期前期即關注軟體元件和相依軟體的安全性,並透過DevSecOps自動整合每個階段的安全性,企業得以從不一致、手動的流程轉變為一致、可重複和自動化的營運。
容器和Kubernetes安全雖具挑戰性,卻能為企業加速開發奠定信心,但前提是不應事後才考慮安全性。Red Hat調查結果顯示,建置和部署階段出現的狀況會對安全性造成顯著影響,而普遍存在於企業的不當配置和漏洞問題更體現此事實。因此,安全性開發策略必須左移(Shift Left)嵌入DevOps工作流程,而非待應用程式即將部署至生產環境時才「匆忙加入」。若安全問題經妥善處理,企業將更有勇氣和自信加速創新、為客戶提供價值。