İnceleme
( Kullanıcı Oyu)Görece olarak yeni bir teknoloji olan Kubernetes’in kullanılma oranı, konteyner orkestrasyon platformunun pek çok dijital dönüşüm çalışmasının değerli bir noktası haline gelmesiyle birlikte son birkaç yılda tepeyi görüyor. Şirketler üretim alanındaki kullandığı teknolojiye artık karar vermiş olsa da konteynerleştirilmiş iş yüklerinin en yeterli nasıl korunabileceğine dair birtakım kaygılar varlığını sürdürüyor. Açık kaynak tahlillerinde dünya başkanı Red Hat’in gerçekleştirdiği The State of Kubernetes Security for 2023 raporu, şirketlerin yazılım tedarik zinciri riskleri üzere bulut yerlisi ortamlarda karşılaştıkları muhakkak güvenlik risklerine ve uygulamalarını ve BT ortamlarını korumak için bu riskleri nasıl azaltabileceklerine odaklanıyor.
Dünyanın dört bir yanındaki 600 DevOps, mühendislik ve güvenlik profesyonelinin katıldığı bir anketi temel alan araştırma, şirketlerin bulut yerlisi yaklaşımı benimseme seyahatlerinde en çok karşılaştığı güvenlik zahmetlerini ve bu zahmetlerinin işleri üzerinde yarattığı etkiyi açığa çıkartıyor. Rapor birebir vakitte uygulama geliştirme ve güvenlik gruplarının güvenlik risklerini azaltmak için uygulayabileceği en uygun metotları sıralıyor ve yol gösteriyor.
Bu yılki raporda öne çıkan bulgular aşağıda yer alıyor:
- Araştırmaya katılanların yüzde 38’i konteynerleştirilmiş operasyonlara yapılan güvenlik yatırımlarının kâfi olmadığını düşünüyor. 2022’ye kıyasla bu alanda yüzde 7 artış bulunuyor.
- Araştırmaya katılanların yüzde 67’si güvenlik kaygılarından dolayı bulut yerlisini benimseme sürecini yavaşlatmak zorunda kaldığını belirtiyor.
- Araştırmaya katılanların yarısından fazlası son 12 ayda bulut yerlisi ve konteynerleştirilmiş geliştirmeyle kontaklı yazılım tedarik zincirinde bir meseleyle karşılaşıyor.
Güvenlik, son birkaç yıldır konteyner kullanımındaki en büyük kaygılardan biri olmaya devam ediyor. Bu yılki anketin sonuçları da bu durumu tekrar gözler önüne seriyor. Güvenliğin gereğince ciddiye alınmadığını yahut güvenlik yatırımlarının kâfi olmadığını belirtenlerin oranı geçen seneye kıyasla yüzde 7 artarak yüzde 38’e ulaştı. Bu teknolojilerin kullanım oranı artıyor lakin güvenlik yatırımlarında tıpkı artış gözlemlenmiyor.
Bulut yerlisi tahlilleri için çoklukla DevOps yaklaşımını da içeren (ve içermesi gereken) bulut yerlisi güvenlik tahlilleri gerekiyor. BT takımlarının CI/CD (sürekli entegrasyon/sürekli teslimat) uygulama ve altyapı akışlarına geribildirimde bulunan ve onları koruyan güvenlik araçlarını belirlemeye ve kullanmaya odaklanması çok kıymetli. Şirketlerin de bu dönüşümü mevcut bir tahlili kullanmak yerine dönüşüm teşebbüslerinin bir modülü olarak planlaması gerekiyor. Zira bulut yerlisi bilişimin gereksinimlerini karşılamak için kıymetli ölçüde özelleştirme yahut ayarlamalar yapmak gerekiyor.
Yatırım ile kullanım ortasındaki farklı azaltmanın en düzgün yollarından birisi ise güvenliğin sonradan bir eklenti yerine dahili olarak yerleştirildiği bulut yerlisi araçlara yatırım yapmaktan geçiyor. Güvenlik tahlile işletim sistem temelinden uygulama düzeyine kadar pek çok kademede entegre edildiğinde şirketlerin en yeni teknolojileriyle uyumlu güvenlik tahlilleri için bütçelerinden ek maliyet ayırması gerekmiyor.
Bulut yerlisi teknolojileri benimsemenin öncelikli sebeplerinden birisi sağladığı çeviklik oluyor. Pazara daha süratli ulaşmaya yardımcı olması, ahenk sağlaması ve güvenilirliği bulut yerlisi teknolojilerin sağladığı yararlar ortasında yer alıyor ve şirketlerin BT altyapılarının dijital dönüşümüne güç veriyor. Fakat ankete katılanların yüzde 67’sinin güvenlik kaygıları nedeniyle uygulama dağıtımını geciktirmek yahut yavaşlatmak zorunda kalması, bu imkanların sağladığı yararların her vakit açığa çıkmadığını gösteriyor. Bu noktada yeni teknolojilerin çoklukla öngörülemeyen güvenlik zahmetlerini beraberinde getirdiğini unutmamak gerekiyor ve güvenliği bulut yerlisi geliştirmeyi engelleyen yahut zedeleyen bir öge yerine teknolojiyi başarılı bir formda benimsemek için gereken bileşenlerden birisi olarak görmek gerekiyor.
Küçük gecikmeler, şirketlerin bulut yerlisi güvenlik olaylarında endişelendiği hususların en sonlarında yer alıyor lakin araştırma, daha da önemli bir tesir yaratmasının mümkün olduğunu gösteriyor. Araştırma için yapılan anketi cevaplayanların yüzde 21’i güvenlik olaylarının bir çalışanın işten çıkarılmasına, yüzde 25’i de şirketlerinin cezaya çarptırılmasına neden olduğunu söylüyor. Güvenlik olayları, bariz tesirlerine ek olarak BT tertibinde pahalı yetenek, bilgi ve tecrübe kaybına neden olabiliyor. Ayrıyeten uyumluluk yahut bilgi ihlalleri nedeniyle düzenleyici para cezalarıyla karşı karşıya kalan şirketler, olumsuz bir haberle anılmaya ek olarak değerli bir mali yük ile karşı karşıya kalıyor.
Ankete katılanların yüzde 37’si gelir/müşteri kaybını konteyner ve Kubernetes güvenlik olayıyla kontaklı olduğunu saptıyor. Bu olaylar kritik projelerin yahut yeni bir sürümün paylaşılmasını geciktirebileceği için şirketlerin geliştirme evresinde gözden kaçabilen zafiyetleri gidermek için güvenlik çalışmalarına öncelik vermesi gerekiyor. Bu gecikmeler şirketlerde daha fazla gelir kaybı, müşteri memnuniyetsizliği ve rakiplere karşı pazar hissesinin küçülmesi üzere daha önemli sonuçlara neden olabiliyor. Tıpkı vakitte müşterilerin gözünde şirketin hassas dataları muhafaza marifetini kuşkuya düşürdüğü için o müşterinin bir daha geri dönmemek üzere büsbütün kaybedilmesiyle sonuçlanabiliyor.
Güvenliği bulut yerlisi stratejinin birinci basamaklarında önceliklendirerek şirketler hassas datalar, fikri mülkiyet ve müşteri bilgisi üzere kurumsal varlıkları koruyacak yatırımlar yapıyor. Birebir vakitte mevzuat gerekliliklerini daha düzgün karşılayabiliyor, iş sürekliliğini sağlayabiliyor, müşteri inancını koruyabiliyor ve ilerleyen etaplarda güvenlik sıkıntılarını daha az maliyetle düzeltebiliyor.
Yazılım tedarik zincirinin güvenliğine gösterilen dikkat hiç olmadığı kadar yüksek. Sonatype’ın araştırmasına nazaran son üç yılda yazılım tedarik zinciri ataklarında ortalama yıllık yüzde 742 oranında önemli bir artış gözlemleniyor. BT önderlerinin zihinlerini meşgul eden belli tedarik zinciri tasalarına ışık tutmak için anketimize katılanlara Kubernetes’teki yazılım tedarik zinciri güvenliğiyle ilgili en çok telaş veren olayın hangisi olduğu ve rastgele bir olay yaşayıp yaşamadıkları üzere çeşitli sorular sorduk.
Araştırmada ortaya çıkan bulgular, konteynerleştirilmiş bir ortamın simgesi haline gelen ve genişleyen yazılım tedarik zincirlerinde oluşabilecek problemlere dair kestirimleri takviyeler nitelikte. Mevzuyla ilgili en büyük üç telaş ise sırasıyla savunmasız uygulama bileşenleri (yüzde 32), yetersiz erişim denetimleri (yüzde 30) ve yazılım gereç listesi (SBOM) ve kaynak eksikliği (yüzde 29) olarak sıralanıyor.
Yanıt verenlerin yarısından fazlasının soruda tanımlanan neredeyse her sorunu deneyimlemiş olması ise dikkat edilmesi gereken bir mevzu olarak öne çıkıyor. Karşılaşılan bu sıkıntılar ortasında savunmasız uygulama bileşenleri ve CI/CD akışındaki zafiyetler ise en sık gözlemlenen iki sorun olarak sıralanıyor.
Öte yandan şirketlerin yazılım tedarik zincirlerinin güvenliğini güçlendirecek adımlar atıyor olması ise olumlu bir gelişme olarak dikkat çekiyor. Yazılım tedarik zinciri güvenliği karmaşık ve çok taraflı bir alan fakat kapsamlı bir DevSecOps yaklaşımına sahip olmak, tesirli bir strateji haline geliyor. Ankete katılanların yüzde 39’u, DevSecOps’un bedelini anlıyor ve bu yaklaşımı kullanmanın şu anda birinci kademelerinde yer alıyor.
Tüm bunların dışında şirketler yazılım bileşenlerinin ve bağımlılıkların güvenliğine yazılım geliştirme ömür döngüsünün başlarında odaklanarak ve her basamakta güvenliğin entegrasyonunu otomatikleştirmek için DevSecOps uygulamalarını kullanarak tutarsız ve manuel süreçlerden dengeli, tekrarlanabilir ve otomatik operasyonlara geçebiliyor.
