La sécurité est une préoccupation importante pour Kubernetes et le développement basé sur les conteneurs. En effet, au cours des 12 derniers mois, 93 % des personnes interrogées dans le cadre du rapport State of Kubernetes Security 2022 de Red Hat ont connu au moins un incident de sécurité dans leurs environnements Kubernetes et de conteneurs, avec parfois pour conséquence la perte de clients ou de revenus. Cette situation est probablement liée à divers facteurs, notamment des connaissances insuffisantes dans la sécurité de ces environnements, des outils inadaptés et des équipes de sécurité qui n’arrivent pas à suivre le rythme de celles en charge du développement d'applications. Dans son rapport, Red Hat fait également remarquer que Kubernetes et les conteneurs ont été conçus pour la productivité des développeurs, et pas nécessairement pour la sécurité.

Publié récemment, le rapport, qui s’est intéressé aux tendances de Kubernetes, des conteneurs et de la sécurité native du cloud, s'appuie sur une enquête réalisée auprès de plus de 300 professionnels du développement, de l'ingénierie et de la sécurité. Selon les principales conclusions du rapport, 55 % des sondés ont retardé ou ralenti le déploiement d'applications en raison d'un problème de sécurité ; 53 % ont détecté une mauvaise configuration de Kubernetes pendant ces 12 derniers mois ; 57 % s'inquiètent surtout de la sécurisation des charges de travail au moment de l'exécution ; 78 % ont mis en place une initiative DevSecOps à un stade précoce ou avancé ; 43 % considèrent que les devops sont essentiels pour la sécurité de Kubernetes ; 38 % ont dû remédier à une vulnérabilité majeure liée aux conteneurs et/ou à Kubernetes cette année.

La mise en place de solutions de sécurité adaptées à ces environnements

Selon Red Hat, les entreprises qui adoptent les conteneurs, Kubernetes et les écosystèmes nativement cloud risquent de compromettre la sécurité de leurs applications critiques si elles n'investissent pas dans des stratégies et des outils de sécurité. Cependant, le DevSecOps, qui intègre des processus et des outils de sécurité dans le pipeline devops, est en cours d'adoption massive. Selon le rapport, Kubernetes est un orchestrateur de cluster de conteneurs hautement personnalisable, dont les diverses options de configuration influent sur la sécurité des applications. Les solutions de sécurité doivent apporter les garde-fous pour configurer Kubernetes de manière plus sûre. L'exécution est la phase du cycle de vie des conteneurs qui inquiète le plus les entreprises. Mais les problèmes de sécurité liés à l'exécution résultent généralement de défaillances en amont, en particulier une mauvaise configuration au stade de la construction ou du déploiement.

Pour améliorer la sécurité, Red Hat a formulé les recommandations suivantes :

- Utiliser des architectures et des contrôles de sécurité intégrant nativement Kubernetes.

- Prendre en compte la sécurité très en amont et l'étendre à l'ensemble du cycle de vie.

- Exiger la portabilité dans les environnements hybrides.

- Sensibiliser les développeurs à la sécurité des utilisateurs en établissant un pont entre le DevOps et la sécurité.