Menu

Konteyner Güvenliğine Dair Kaygılar Yazılım Tedarikinde Küçük Fakat Tesirli Yavaşlamalara Neden Oluyor

Yapılan yatırımlar kâfi değil

admin 7 ayönce 0

Görece olarak yeni bir teknoloji olan Kubernetes’in kullanılma oranı, konteyner orkestrasyon platformunun pek çok dijital dönüşüm çalışmasının kıymetli bir noktası haline gelmesiyle birlikte son birkaç yılda tepeyi görüyor. Şirketler üretim alanındaki kullandığı teknolojiye artık karar vermiş olsa da konteynerleştirilmiş iş yüklerinin en güzel nasıl korunabileceğine dair birtakım kaygılar varlığını sürdürüyor. Açık kaynak tahlillerinde dünya başkanı Red Hat’in gerçekleştirdiği The State of Kubernetes Security for 2023 raporu, şirketlerin yazılım tedarik zinciri riskleri üzere bulut yerlisi ortamlarda karşılaştıkları belli güvenlik risklerine ve uygulamalarını ve BT ortamlarını korumak için bu riskleri nasıl azaltabileceklerine odaklanıyor.

Dünyanın dört bir yanındaki 600 DevOps, mühendislik ve güvenlik profesyonelinin katıldığı bir anketi temel alan araştırma, şirketlerin bulut yerlisi yaklaşımı benimseme seyahatlerinde en çok karşılaştığı güvenlik zahmetlerini ve bu zahmetlerinin işleri üzerinde yarattığı etkiyi açığa çıkartıyor. Rapor tıpkı vakitte uygulama geliştirme ve güvenlik takımlarının güvenlik risklerini azaltmak için uygulayabileceği en güzel usulleri sıralıyor ve yol gösteriyor.

Bu yılki raporda öne çıkan bulgular aşağıda yer alıyor:

  • Araştırmaya katılanların yüzde 38’i konteynerleştirilmiş operasyonlara yapılan güvenlik yatırımlarının kâfi olmadığını düşünüyor. 2022’ye kıyasla bu alanda yüzde 7 artış bulunuyor.
  • Araştırmaya katılanların yüzde 67’si güvenlik tasalarından dolayı bulut yerlisini benimseme sürecini yavaşlatmak zorunda kaldığını belirtiyor.
  • Araştırmaya katılanların yarısından fazlası son 12 ayda bulut yerlisi ve konteynerleştirilmiş geliştirmeyle kontaklı yazılım tedarik zincirinde bir meseleyle karşılaşıyor.

Güvenlik, son birkaç yıldır konteyner kullanımındaki en büyük telaşlardan biri olmaya devam ediyor. Bu yılki anketin sonuçları da bu durumu tekrar gözler önüne seriyor. Güvenliğin gereğince ciddiye alınmadığını yahut güvenlik yatırımlarının kâfi olmadığını belirtenlerin oranı geçen seneye kıyasla yüzde 7 artarak yüzde 38’e ulaştı. Bu teknolojilerin kullanım oranı artıyor lakin güvenlik yatırımlarında birebir artış gözlemlenmiyor.

Bulut yerlisi tahlilleri için ekseriyetle DevOps yaklaşımını da içeren (ve içermesi gereken) bulut yerlisi güvenlik tahlilleri gerekiyor. BT gruplarının CI/CD (sürekli entegrasyon/sürekli teslimat) uygulama ve altyapı akışlarına geribildirimde bulunan ve onları koruyan güvenlik araçlarını belirlemeye ve kullanmaya odaklanması çok değerli. Şirketlerin de bu dönüşümü mevcut bir tahlili kullanmak yerine dönüşüm teşebbüslerinin bir modülü olarak planlaması gerekiyor. Zira bulut yerlisi bilişimin gereksinimlerini karşılamak için değerli ölçüde özelleştirme yahut ayarlamalar yapmak gerekiyor.

Yatırım ile kullanım ortasındaki farklı azaltmanın en düzgün yollarından birisi ise güvenliğin sonradan bir eklenti yerine dahili olarak yerleştirildiği bulut yerlisi araçlara yatırım yapmaktan geçiyor. Güvenlik tahlile işletim sistem temelinden uygulama düzeyine kadar pek çok basamakta entegre edildiğinde şirketlerin en yeni teknolojileriyle uyumlu güvenlik tahlilleri için bütçelerinden ek maliyet ayırması gerekmiyor.

Bulut yerlisi teknolojileri benimsemenin öncelikli sebeplerinden birisi sağladığı çeviklik oluyor. Pazara daha süratli ulaşmaya yardımcı olması, ahenk sağlaması ve güvenilirliği bulut yerlisi teknolojilerin sağladığı yararlar ortasında yer alıyor ve şirketlerin BT altyapılarının dijital dönüşümüne güç veriyor. Fakat ankete katılanların yüzde 67’sinin güvenlik kaygıları nedeniyle uygulama dağıtımını geciktirmek yahut yavaşlatmak zorunda kalması, bu imkanların sağladığı yararların her vakit açığa çıkmadığını gösteriyor. Bu noktada yeni teknolojilerin çoklukla öngörülemeyen güvenlik zahmetlerini beraberinde getirdiğini unutmamak gerekiyor ve güvenliği bulut yerlisi geliştirmeyi engelleyen yahut zedeleyen bir öge yerine teknolojiyi başarılı bir biçimde benimsemek için gereken bileşenlerden birisi olarak görmek gerekiyor.

Küçük gecikmeler, şirketlerin bulut yerlisi güvenlik olaylarında endişelendiği mevzuların en sonlarında yer alıyor lakin araştırma, daha da önemli bir tesir yaratmasının mümkün olduğunu gösteriyor. Araştırma için yapılan anketi cevaplayanların yüzde 21’i güvenlik olaylarının bir çalışanın işten çıkarılmasına, yüzde 25’i de şirketlerinin cezaya çarptırılmasına neden olduğunu söylüyor. Güvenlik olayları, bariz tesirlerine ek olarak BT tertibinde kıymetli yetenek, bilgi ve tecrübe kaybına neden olabiliyor. Ayrıyeten uyumluluk yahut data ihlalleri nedeniyle düzenleyici para cezalarıyla karşı karşıya kalan şirketler, olumsuz bir haberle anılmaya ek olarak değerli bir mali yük ile karşı karşıya kalıyor.

Ankete katılanların yüzde 37’si gelir/müşteri kaybını konteyner ve Kubernetes güvenlik olayıyla temaslı olduğunu saptıyor. Bu olaylar kritik projelerin yahut yeni bir sürümün paylaşılmasını geciktirebileceği için şirketlerin geliştirme kademesinde gözden kaçabilen zafiyetleri gidermek için güvenlik çalışmalarına öncelik vermesi gerekiyor. Bu gecikmeler şirketlerde daha fazla gelir kaybı, müşteri memnuniyetsizliği ve rakiplere karşı pazar hissesinin küçülmesi üzere daha önemli sonuçlara neden olabiliyor. Tıpkı vakitte müşterilerin gözünde şirketin hassas bilgileri muhafaza maharetini kuşkuya düşürdüğü için o müşterinin bir daha geri dönmemek üzere büsbütün kaybedilmesiyle sonuçlanabiliyor.

Güvenliği bulut yerlisi stratejinin birinci kademelerinde önceliklendirerek şirketler hassas datalar, fikri mülkiyet ve müşteri bilgisi üzere kurumsal varlıkları koruyacak yatırımlar yapıyor. Birebir vakitte mevzuat gerekliliklerini daha âlâ karşılayabiliyor, iş sürekliliğini sağlayabiliyor, müşteri itimadını koruyabiliyor ve ilerleyen etaplarda güvenlik sıkıntılarını daha az maliyetle düzeltebiliyor.

Yazılım tedarik zincirinin güvenliğine gösterilen dikkat hiç olmadığı kadar yüksek. Sonatype’ın araştırmasına nazaran son üç yılda yazılım tedarik zinciri akınlarında ortalama yıllık yüzde 742 oranında önemli bir artış gözlemleniyor. BT önderlerinin zihinlerini meşgul eden makul tedarik zinciri kaygılarına ışık tutmak için anketimize katılanlara Kubernetes’teki yazılım tedarik zinciri güvenliğiyle ilgili en çok telaş veren olayın hangisi olduğu ve rastgele bir olay yaşayıp yaşamadıkları üzere çeşitli sorular sorduk.

Araştırmada ortaya çıkan bulgular, konteynerleştirilmiş bir ortamın simgesi haline gelen ve genişleyen yazılım tedarik zincirlerinde oluşabilecek problemlere dair kestirimleri dayanaklar nitelikte. Mevzuyla ilgili en büyük üç telaş ise sırasıyla savunmasız uygulama bileşenleri (yüzde 32), yetersiz erişim denetimleri (yüzde 30) ve yazılım gereç listesi (SBOM) ve kaynak eksikliği (yüzde 29) olarak sıralanıyor.

Yanıt verenlerin yarısından fazlasının soruda tanımlanan neredeyse her sorunu deneyimlemiş olması ise dikkat edilmesi gereken bir husus olarak öne çıkıyor. Karşılaşılan bu sıkıntılar ortasında savunmasız uygulama bileşenleri ve CI/CD akışındaki zafiyetler ise en sık gözlemlenen iki sorun olarak sıralanıyor.

Öte yandan şirketlerin yazılım tedarik zincirlerinin güvenliğini güçlendirecek adımlar atıyor olması ise olumlu bir gelişme olarak dikkat çekiyor. Yazılım tedarik zinciri güvenliği karmaşık ve çok istikametli bir alan lakin kapsamlı bir DevSecOps yaklaşımına sahip olmak, tesirli bir strateji haline geliyor. Ankete katılanların yüzde 39’u, DevSecOps’un pahasını anlıyor ve bu yaklaşımı kullanmanın şu anda birinci evrelerinde yer alıyor.

Tüm bunların dışında şirketler yazılım bileşenlerinin ve bağımlılıkların güvenliğine yazılım geliştirme hayat döngüsünün başlarında odaklanarak ve her basamakta güvenliğin entegrasyonunu otomatikleştirmek için DevSecOps uygulamalarını kullanarak tutarsız ve manuel süreçlerden dengeli, tekrarlanabilir ve otomatik operasyonlara geçebiliyor.

Oyun Haberleri

0 Kullanıcı Oyu ( 0 out of 0 )

Değerlendirme

– Advertisement – LoL RP Oyuneks
Yazar

– Advertisement –
LoL RP Oyuneks