Le dernier rapport « State of Kubernetes Security » de Red Hat montre que la sécurité est la préoccupation première des utilisateurs de la plateforme de conteneurs. Le rapport s’appuie sur les réponses de plus de 300 professionnels du développement, de l’ingénierie et de la sécurité. 93 % reconnaissent avoir connu au moins un incident de sécurité dans leur environnement au cours des 12 derniers mois, qui a pu retarder la mise en production des applications et entrainer une perte de revenus ou de clients.

Les principaux problèmes mentionnés sont liés à des erreurs de configuration (53%), des vulnérabilités majeures (38%), des incidents dans l’environnement d’exécution (30%) ou d’échecs d’audits  (22%). Un tiers des répondants (31%) reconnait qu’ils ont impacté l’activité de l’entreprise.

Interrogés sur la stratégie de leurs entreprises en matière de conteneurs, les répondants se plaignent en premier lieu qu’elle progresse trop lentement (22%). Mais si on additionne ceux qui déplorent le manque d’investissement dans la sécurité des conteneurs (17%) ou une menace insuffisamment prise au sérieux (14%), on voit que la question de la sécurité est là encore au cœur de leurs préoccupations.

Coté équipes, seulement 16 % des répondants identifient l’équipe de sécurité informatique comme responsable de la Sécurité Kubernetes. Cette responsabilité est largement dévolue aux équipes DevOps (43%) et dans une moindre mesure aux DevSecOps (19%). D’où l’importance d’avoir des outils facilitant la collaboration entre toutes ces équipes. La vague des initiatives DevSecOps grandit toutefois, avec 27% des répondants qui considèrent qu’elles sont déjà en phase avancée et 50% en phase précoce.

Concernant leurs environnements de conteneurs, les répondants se disent particulièrement vigilants aux erreurs de configuration, Kubernetes étant un orchestrateur de conteneurs hautement personnalisable avec de nombreuses options pouvant affecter la sécurité des applications. Ils sont aussi près de deux tiers (57%) à déclarer que le runtime est la phase du cycle de vie des conteneurs qui les préoccupe le plus. Le rapport reconnait que les erreurs sont plus couteuses à fixer à ce stade mais indique que les problèmes d’exécution sont souvent dues à des erreurs de configuration dans la phase initiale.

Les environnements cloud dans lesquels fonctionnent les applications conteneurisées sont largement corrélés à la taille des entreprises. Les grandes organisations (plus de 1 000 employés) privilégient une approche hybride (42 %), tandis que les petites organisations gravitent autour d’une stratégie cloud unique (46 %)

Red Hat conclut son rapport avec 4 conseils pour plus de sécurité :

  1. Utiliser des architectures et des contrôles de sécurité natifs Kubernetes
  2. Démarrer la sécurité tôt et l’étendre tout au long du cycle de vie
  3. Exiger la portabilité pour tous les environnements hybrides
  4. Transformer les développeurs en utilisateurs de la sécurité en faisant le pont entre DevOps et sécurité