Konteyner Güvenliğine Dair Endişeler Yazılım Tedarikinde Küçük Ama Etkili Yavaşlamalara Neden Oluyor
Görece olarak yeni bir teknoloji olan Kubernetes’in kullanılma oranı, konteyner orkestrasyon platformunun pek çok dijital dönüşüm çalışmasının önemli bir noktası haline gelmesiyle birlikte son birkaç yılda zirveyi görüyor. Şirketler üretim alanındaki kullandığı teknolojiye artık karar vermiş olsa da konteynerleştirilmiş iş yüklerinin en iyi nasıl korunabileceğine dair bazı endişeler varlığını sürdürüyor. Açık kaynak çözümlerinde dünya lideri Red Hat’in gerçekleştirdiği The State of Kubernetes Security for 2023 raporu, şirketlerin yazılım tedarik zinciri riskleri gibi bulut yerlisi ortamlarda karşılaştıkları belirli güvenlik risklerine ve uygulamalarını ve BT ortamlarını korumak için bu riskleri nasıl azaltabileceklerine odaklanıyor.
Dünyanın dört bir yanındaki 600 DevOps, mühendislik ve güvenlik profesyonelinin katıldığı bir anketi temel alan araştırma, şirketlerin bulut yerlisi yaklaşımı benimseme yolculuklarında en çok karşılaştığı güvenlik güçlüklerini ve bu güçlüklerinin işleri üzerinde yarattığı etkiyi açığa çıkartıyor. Rapor aynı zamanda uygulama geliştirme ve güvenlik ekiplerinin güvenlik risklerini azaltmak için uygulayabileceği en iyi yöntemleri sıralıyor ve yol gösteriyor.
Bu yılki raporda öne çıkan bulgular aşağıda yer alıyor:
- Araştırmaya katılanların yüzde 38’i konteynerleştirilmiş operasyonlara yapılan güvenlik yatırımlarının yeterli olmadığını düşünüyor. 2022’ye kıyasla bu alanda yüzde 7 artış bulunuyor.
- Araştırmaya katılanların yüzde 67’si güvenlik endişelerinden ötürü bulut yerlisini benimseme sürecini yavaşlatmak zorunda kaldığını belirtiyor.
- Araştırmaya katılanların yarısından fazlası son 12 ayda bulut yerlisi ve konteynerleştirilmiş geliştirmeyle bağlantılı yazılım tedarik zincirinde bir sorunla karşılaşıyor.
Güvenlik, son birkaç yıldır konteyner kullanımındaki en büyük endişelerden biri olmaya devam ediyor. Bu yılki anketin sonuçları da bu durumu tekrar gözler önüne seriyor. Güvenliğin yeterince ciddiye alınmadığını veya güvenlik yatırımlarının yeterli olmadığını belirtenlerin oranı geçen seneye kıyasla yüzde 7 artarak yüzde 38’e ulaştı. Bu teknolojilerin kullanım oranı artıyor ancak güvenlik yatırımlarında aynı artış gözlemlenmiyor.
Bulut yerlisi çözümleri için genellikle DevOps yaklaşımını da içeren (ve içermesi gereken) bulut yerlisi güvenlik çözümleri gerekiyor. BT ekiplerinin CI/CD (sürekli entegrasyon/sürekli teslimat) uygulama ve altyapı akışlarına geribildirimde bulunan ve onları koruyan güvenlik araçlarını belirlemeye ve kullanmaya odaklanması çok önemli. Şirketlerin de bu dönüşümü mevcut bir çözümü kullanmak yerine dönüşüm girişimlerinin bir parçası olarak planlaması gerekiyor. Çünkü bulut yerlisi bilişimin ihtiyaçlarını karşılamak için önemli ölçüde özelleştirme veya ayarlamalar yapmak gerekiyor.
Yatırım ile kullanım arasındaki farklı azaltmanın en iyi yollarından birisi ise güvenliğin sonradan bir eklenti yerine dahili olarak yerleştirildiği bulut yerlisi araçlara yatırım yapmaktan geçiyor. Güvenlik çözüme işletim sistem temelinden uygulama seviyesine kadar pek çok aşamada entegre edildiğinde şirketlerin en yeni teknolojileriyle uyumlu güvenlik çözümleri için bütçelerinden ek maliyet ayırması gerekmiyor.
Bulut yerlisi teknolojileri benimsemenin öncelikli sebeplerinden birisi sağladığı çeviklik oluyor. Pazara daha hızlı ulaşmaya yardımcı olması, uyum sağlaması ve güvenilirliği bulut yerlisi teknolojilerin sağladığı faydalar arasında yer alıyor ve şirketlerin BT altyapılarının dijital dönüşümüne güç veriyor. Ancak ankete katılanların yüzde 67’sinin güvenlik endişeleri nedeniyle uygulama dağıtımını geciktirmek veya yavaşlatmak zorunda kalması, bu imkanların sağladığı faydaların her zaman açığa çıkmadığını gösteriyor. Bu noktada yeni teknolojilerin genellikle öngörülemeyen güvenlik güçlüklerini beraberinde getirdiğini unutmamak gerekiyor ve güvenliği bulut yerlisi geliştirmeyi engelleyen veya zedeleyen bir unsur yerine teknolojiyi başarılı bir şekilde benimsemek için gereken bileşenlerden birisi olarak görmek gerekiyor.
Küçük gecikmeler, şirketlerin bulut yerlisi güvenlik olaylarında endişelendiği konuların en sonlarında yer alıyor ancak araştırma, daha da ciddi bir etki yaratmasının mümkün olduğunu gösteriyor. Araştırma için yapılan anketi cevaplayanların yüzde 21’i güvenlik olaylarının bir çalışanın işten çıkarılmasına, yüzde 25’i de şirketlerinin cezaya çarptırılmasına neden olduğunu söylüyor. Güvenlik olayları, bariz etkilerine ek olarak BT organizasyonunda değerli yetenek, bilgi ve deneyim kaybına neden olabiliyor. Ayrıca uyumluluk veya veri ihlalleri nedeniyle düzenleyici para cezalarıyla karşı karşıya kalan şirketler, olumsuz bir haberle anılmaya ek olarak önemli bir mali yük ile karşı karşıya kalıyor.
Ankete katılanların yüzde 37’si gelir/müşteri kaybını konteyner ve Kubernetes güvenlik olayıyla bağlantılı olduğunu saptıyor. Bu olaylar kritik projelerin veya yeni bir sürümün paylaşılmasını geciktirebileceği için şirketlerin geliştirme aşamasında gözden kaçabilen zafiyetleri gidermek için güvenlik çalışmalarına öncelik vermesi gerekiyor. Bu gecikmeler şirketlerde daha fazla gelir kaybı, müşteri memnuniyetsizliği ve rakiplere karşı pazar payının küçülmesi gibi daha ciddi sonuçlara neden olabiliyor. Aynı zamanda müşterilerin gözünde şirketin hassas verileri koruma becerisini şüpheye düşürdüğü için o müşterinin bir daha geri dönmemek üzere tamamen kaybedilmesiyle sonuçlanabiliyor.
Güvenliği bulut yerlisi stratejinin ilk aşamalarında önceliklendirerek şirketler hassas veriler, fikri mülkiyet ve müşteri bilgisi gibi kurumsal varlıkları koruyacak yatırımlar yapıyor. Aynı zamanda mevzuat gerekliliklerini daha iyi karşılayabiliyor, iş sürekliliğini sağlayabiliyor, müşteri güvenini koruyabiliyor ve ilerleyen aşamalarda güvenlik sorunlarını daha az maliyetle düzeltebiliyor.
Yazılım tedarik zincirinin güvenliğine gösterilen dikkat hiç olmadığı kadar yüksek. Sonatype’ın araştırmasına göre son üç yılda yazılım tedarik zinciri saldırılarında ortalama yıllık yüzde 742 oranında ciddi bir artış gözlemleniyor. BT liderlerinin zihinlerini meşgul eden belirli tedarik zinciri endişelerine ışık tutmak için anketimize katılanlara Kubernetes’teki yazılım tedarik zinciri güvenliğiyle ilgili en çok endişe veren olayın hangisi olduğu ve herhangi bir olay yaşayıp yaşamadıkları gibi çeşitli sorular sorduk.
Araştırmada ortaya çıkan bulgular, konteynerleştirilmiş bir ortamın simgesi haline gelen ve genişleyen yazılım tedarik zincirlerinde oluşabilecek sorunlara dair tahminleri destekler nitelikte. Konuyla ilgili en büyük üç endişe ise sırasıyla savunmasız uygulama bileşenleri (yüzde 32), yetersiz erişim kontrolleri (yüzde 30) ve yazılım malzeme listesi (SBOM) ve kaynak eksikliği (yüzde 29) olarak sıralanıyor.
Yanıt verenlerin yarısından fazlasının soruda tanımlanan neredeyse her sorunu deneyimlemiş olması ise dikkat edilmesi gereken bir konu olarak öne çıkıyor. Karşılaşılan bu sorunlar arasında savunmasız uygulama bileşenleri ve CI/CD akışındaki zafiyetler ise en sık gözlemlenen iki sorun olarak sıralanıyor.
Öte yandan şirketlerin yazılım tedarik zincirlerinin güvenliğini güçlendirecek adımlar atıyor olması ise olumlu bir gelişme olarak dikkat çekiyor. Yazılım tedarik zinciri güvenliği karmaşık ve çok yönlü bir alan ancak kapsamlı bir DevSecOps yaklaşımına sahip olmak, etkili bir strateji haline geliyor. Ankete katılanların yüzde 39’u, DevSecOps’un değerini anlıyor ve bu yaklaşımı kullanmanın şu anda ilk aşamalarında yer alıyor.
Tüm bunların dışında şirketler yazılım bileşenlerinin ve bağımlılıkların güvenliğine yazılım geliştirme yaşam döngüsünün başlarında odaklanarak ve her aşamada güvenliğin entegrasyonunu otomatikleştirmek için DevSecOps uygulamalarını kullanarak tutarsız ve manuel süreçlerden tutarlı, tekrarlanabilir ve otomatik operasyonlara geçebiliyor.