Kubernetes est un système open source qui vise à fournir une "plate-forme permettant d'automatiser le déploiement, la montée en charge et la mise en œuvre de conteneurs d'application sur des grappes de serveurs". Il fonctionne avec toute une série de technologies de conteneurisation, et est souvent utilisé avec Docker. Il a été conçu à l'origine par Google, puis offert à la Cloud Native Computing Foundation.
Kubernetes définit un jeu d'outils ("primitives" qui, ensemble, fournissent des mécanismes pour déployer, maintenir et mettre à l’échelle des applications. Ces éléments qui composent Kubernetes sont conçus pour être combinés et extensibles et donc permettre de supporter une grande variété de charge de travail. Cette extensibilité est fournie en grande partie par l'API de Kubernetes, qui est utilisée par les composants internes aussi bien que par les extensions et les conteneurs tournant sur Kubernetes.
L'étude de Venafi révèle que 76 % des professionnels de la sécurité et de l'informatique pensent que nous nous dirigeons vers une remise en question du cloud en termes de coûts et de sécurité, et que 84 % d'entre eux pensent que Kubernetes sera bientôt la principale plateforme utilisée pour développer toutes les applications. Mais les trois quarts d'entre eux craignent que la vitesse et la complexité de Kubernetes et des conteneurs ne créent de nouveaux angles morts en matière de sécurité.
En outre, 59 % des personnes interrogées qui ont effectué une migration vers le cloud admettent qu'elles n'ont pas compris les risques de sécurité lors de cette migration. Si la plupart des personnes interrogées (87 %) ont commencé à migrer leurs applications existantes vers le cloud, plus de la moitié de celles qui l'ont fait n'ont pas réussi à les remanier à l'aide de technologies natives du cloud.
Parmi les autres résultats, 90 % des professionnels de la sécurité et de l'informatique pensent que les équipes de sécurité doivent améliorer leur compréhension des environnements "cloud native" pour garantir la sécurité des applications. Cela est d'autant plus urgent que 85 % d'entre eux ont confirmé que les équipes de sécurité définissent la stratégie de gestion des risques de sécurité et de gouvernance dans les environnements natifs du cloud.
"Le cloud natif est la voie de l'avenir, permettant des applications hautement évolutives, flexibles et résilientes qui peuvent offrir un avantage concurrentiel - dans quelques années, presque tout fonctionnera sur une architecture cloud natif", déclare Matt Barker, responsable mondial des services cloud natif chez Venafi. "Mais dans la précipitation de la transition vers ces environnements modernes, de nombreuses entreprises sous-estiment le travail nécessaire pour assurer l'efficacité et la sécurité. Alors que les entreprises continuent à transférer des charges de travail critiques dans des environnements natifs du cloud, elles doivent s'assurer de combler ces lacunes, faute de quoi nous assisterons à une recrudescence des violations et des pannes."
L'un des principaux défis mis en évidence par l'étude est la question de la responsabilité et du contrôle. 85 % des personnes interrogées reconnaissent que la validation continue de la sécurité dans le pipeline CI/CD est essentielle pour réduire le risque que des vulnérabilités ne soient pas détectées au cours du cycle de vie du développement logiciel. Mais si les équipes de sécurité contrôlent toujours la stratégie globale de sécurité dans les environnements natifs du cloud, la mise en œuvre de ces contrôles dans les environnements natifs du cloud incombe plus souvent aux équipes de développement et de plateforme ; même si 73 % des personnes interrogées notent que les développeurs sont confrontés à plusieurs priorités conflictuelles, ce qui signifie que la sécurité n'est pas toujours au premier plan.
L'étude suggère également que les équipes de développement ne reçoivent pas toujours, ou n'obtiennent pas toujours, les bons outils pour travailler rapidement et en toute sécurité. 68 % des personnes interrogées pensent que si DevOps est une excellente idée, elle ne fonctionne pas dans la pratique parce que la sécurité reste un obstacle. En outre, plus de la moitié d'entre eux n'ont pas la capacité d'automatiser la sécurité, ce qui entraîne des difficultés dans la gestion de la sécurité sur plusieurs clusters. Alors que 88 % des personnes interrogées estiment que les identités des machines sont essentielles au succès de la confiance zéro, 73 % d'entre elles déclarent qu'il est difficile de répondre de manière simple et sécurisée aux exigences de gestion des identités des machines imposées par les développeurs pour les charges de travail natives du cloud.
Source : Venafi
Et vous ?
Pensez-vous que cette étude est crédible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :
Kubernetes exposé : Un Yaml près du désastre, 72% des installations sont non sécurisées et exposées aux attaques
Le rapport de Red Hat sur la sécurité de Kubernetes révèle que l'homme est le problème, l'entreprise estime que la complexité de Kubernetes déconcerte le cerveau humain
K3s : une distribution Kubernetes légère et facile à installer avec un binaire de moins de 100 Mo et des dépendances externes réduites au minimum