Red Hat Kubernetesレポート: セキュリティは最大の課題であり、問​​題の核心は人にある

Red Hat は、クラウドネイティブ開発において組織が直面するセキュリティ上の課題と、アプリケーションと IT 環境を保護するために組織がこれらの課題にどのように対処しているかを調査した新しい「Kubernetes セキュリティの現状 2022」レポートをリリースしました。このレポートは、300 人を超える DevOps、エンジニアリング、セキュリティの専門家を対象とした調査に基づいており、企業がコンテナと Kubernetes を導入しながらこれらの環境のセキュリティのバランスをとる方法に焦点を当てています。

前年と同様に、コンテナ導入における最大の懸念事項の 1 つはセキュリティであるとレポートは指摘しています。新しいテクノロジーを従来の IT 環境に統合すると、予期しないセキュリティ上の課題が生じる可能性があります。また、コンテナのセキュリティ ニーズは開発から展開、保守まで、アプリケーション ライフサイクルのあらゆる側面に及ぶため、コンテナは特に複雑な状況となります。レポートによると、回答者の 31% がコンテナ戦略に関して最もよく懸念しているのは、コンテナに対するセキュリティ上の脅威とコンテナ セキュリティへの投資不足でした。

回答者の 93% は、過去 12 か月間に Kubernetes 環境で少なくとも 1 件のセキュリティ インシデントを経験しており、その結果、収益や顧客を失うこともあったと報告しています。回答者の半数以上（55%）も、セキュリティ上の懸念から過去1年間にアプリのリリースを延期しなければならなかったと回答しています。この報告書は、Kubernetes がセキュリティよりも生産性に重点を置いていることに責任があるとしている。 「Kubernetes とコンテナは強力ですが、開発者の生産性向上のために設計されており、必ずしもセキュリティを重視したものではありません。たとえば、デフォルトのポッド間ネットワーク設定では、オープンな通信が可能になり、クラスターを迅速に起動して実行できますが、セキュリティ強化は犠牲になります。」

報告書では、人為的ミスが依然としてデータ侵害の原因の一つであると述べられています。同社は世界経済フォーラムの調査報告書を引用し、「データ侵害の95％は人為的ミスが主な要因である」という証拠を示した。データによると、回答者の約 53% が過去 12 か月間に自社の環境で構成ミスのインシデントを経験しています。 38% が重大な脆弱性を発見し、30% がランタイム セキュリティ インシデントを経験したと述べています。 22%が監査に失敗したと回答しました。

メディアで広く注目されるサイバー攻撃と比較して、IT 担当者が最も懸念しているのは、誤った構成によって生じるリスクです。 「Kubernetes は高度にカスタマイズ可能で、アプリケーションのセキュリティ体制に影響を与える可能性のあるさまざまな構成オプションを備えています。その結果、回答者はコンテナと Kubernetes 環境の構成ミスによるリスクを最も懸念しており (46%)、これは攻撃に対する懸念 (16%) のほぼ 3 倍です。」構成管理を可能な限り自動化すると、これらの問題を軽減するのに役立ちます。

一方、DevSecOps は、一部の組織では徐々に標準になってきています。回答者の大多数 (78%) は、DevSecOps プログラムを初級または上級段階のいずれかで実施していると回答しました。 DevSecOps に関しては、回答者の 27% が、アプリケーション ライフサイクル全体にわたってセキュリティを統合および自動化する高度な DevSecOps プログラムを備え、自社を最も先進的な組織であると考えています。

開発、運用、セキュリティ チーム間の連携も重視されます。レポートでは、今日の急速なリリース サイクルにより、セキュリティは、アプリケーションが本番環境にデプロイされる直前にのみ考慮されるのではなく、シフトレフトして DevOps ワークフローに組み込む必要があると述べています。ほとんどの回答者が同意する見解です。多くの企業が DevSecOps を実装しているにもかかわらず、DevOps とセキュリティを引き続き別々に運用していると答えた回答者はわずか 22% でした。 Kubernetes のセキュリティを担当する中央 IT セキュリティ チームを設置すると決定したのはわずか 16% でした。

Red Hat は、潜在的なセキュリティ上の問題があるにもかかわらず、コンテナと Kubernetes を導入することによるメリットがデメリットを上回ると結論付けました。重要なのは、構成チェックの一部として DevOps のベスト プラクティスと内部制御を組み込んだコンテナーおよび Kubernetes セキュリティ プラットフォームを見つけることです。また、開発者が機能の提供に集中できるように、Kubernetes 自体の構成のセキュリティ体制も評価する必要があります。

完全なレポートアドレス

この記事はOSCHINAから転載したものです

この記事のタイトル: Red Hat Kubernetesレポート: セキュリティは最大の課題であり、問​​題の核心は人にある

この記事のアドレス: https://www.oschina.net/news/196582/state-kubernetes-security-2022