Konteyner Güvenliğine Dair Telaşlar Yazılım Tedarikinde Küçük Ancak Tesirli Yavaşlamalara Neden Oluyor

Görece olarak yeni bir teknoloji olan Kubernetes’in kullanılma oranı, konteyner orkestrasyon platformunun pek çok dijital dönüşüm çalışmasının değerli bir noktası haline gelmesiyle birlikte son birkaç yılda tepeyi görüyor. Şirketler üretim alanındaki kullandığı teknolojiye artık karar vermiş olsa da konteynerleştirilmiş iş yüklerinin en uygun nasıl korunabileceğine dair birtakım telaşlar varlığını sürdürüyor. Açık kaynak tahlillerinde dünya önderi Red Hat’in gerçekleştirdiği The State of Kubernetes Security for 2023 raporu, şirketlerin yazılım tedarik zinciri riskleri üzere bulut yerlisi ortamlarda karşılaştıkları makul güvenlik risklerine ve uygulamalarını ve BT ortamlarını korumak için bu riskleri nasıl azaltabileceklerine odaklanıyor.

Dünyanın dört bir yanındaki 600 DevOps, mühendislik ve güvenlik profesyonelinin katıldığı bir anketi temel alan araştırma, şirketlerin bulut yerlisi yaklaşımı benimseme seyahatlerinde en çok karşılaştığı güvenlik zahmetlerini ve bu zahmetlerinin işleri üzerinde yarattığı etkiyi açığa çıkartıyor. Rapor birebir vakitte uygulama geliştirme ve güvenlik takımlarının güvenlik risklerini azaltmak için uygulayabileceği en uygun prosedürleri sıralıyor ve yol gösteriyor.

Bu yılki raporda öne çıkan bulgular aşağıda yer alıyor:

  • Araştırmaya katılanların yüzde 38’i konteynerleştirilmiş operasyonlara yapılan güvenlik yatırımlarının kâfi olmadığını düşünüyor. 2022’ye kıyasla bu alanda yüzde 7 artış bulunuyor.
  • Araştırmaya katılanların yüzde 67’si güvenlik telaşlarından dolayı bulut yerlisini benimseme sürecini yavaşlatmak zorunda kaldığını belirtiyor.
  • Araştırmaya katılanların yarısından fazlası son 12 ayda bulut yerlisi ve konteynerleştirilmiş geliştirmeyle ilişkili yazılım tedarik zincirinde bir problemle karşılaşıyor.

Güvenlik, son birkaç yıldır konteyner kullanımındaki en büyük kaygılardan biri olmaya devam ediyor. Bu yılki anketin sonuçları da bu durumu tekrar gözler önüne seriyor. Güvenliğin gereğince ciddiye alınmadığını yahut güvenlik yatırımlarının kâfi olmadığını belirtenlerin oranı geçen seneye kıyasla yüzde 7 artarak yüzde 38’e ulaştı. Bu teknolojilerin kullanım oranı artıyor fakat güvenlik yatırımlarında birebir artış gözlemlenmiyor.

Bulut yerlisi tahlilleri için ekseriyetle DevOps yaklaşımını da içeren (ve içermesi gereken) bulut yerlisi güvenlik tahlilleri gerekiyor. BT takımlarının CI/CD (sürekli entegrasyon/sürekli teslimat) uygulama ve altyapı akışlarına geribildirimde bulunan ve onları koruyan güvenlik araçlarını belirlemeye ve kullanmaya odaklanması çok değerli. Şirketlerin de bu dönüşümü mevcut bir tahlili kullanmak yerine dönüşüm teşebbüslerinin bir modülü olarak planlaması gerekiyor. Zira bulut yerlisi bilişimin muhtaçlıklarını karşılamak için değerli ölçüde özelleştirme yahut ayarlamalar yapmak gerekiyor.

Yatırım ile kullanım ortasındaki farklı azaltmanın en âlâ yollarından birisi ise güvenliğin sonradan bir eklenti yerine dahili olarak yerleştirildiği bulut yerlisi araçlara yatırım yapmaktan geçiyor. Güvenlik tahlile işletim sistem temelinden uygulama düzeyine kadar pek çok kademede entegre edildiğinde şirketlerin en yeni teknolojileriyle uyumlu güvenlik tahlilleri için bütçelerinden ek maliyet ayırması gerekmiyor.

Bulut yerlisi teknolojileri benimsemenin öncelikli sebeplerinden birisi sağladığı çeviklik oluyor. Pazara daha süratli ulaşmaya yardımcı olması, ahenk sağlaması ve güvenilirliği bulut yerlisi teknolojilerin sağladığı yararlar ortasında yer alıyor ve şirketlerin BT altyapılarının dijital dönüşümüne güç veriyor. Lakin ankete katılanların yüzde 67’sinin güvenlik kaygıları nedeniyle uygulama dağıtımını geciktirmek yahut yavaşlatmak zorunda kalması, bu imkanların sağladığı yararların her vakit açığa çıkmadığını gösteriyor. Bu noktada yeni teknolojilerin çoklukla öngörülemeyen güvenlik zahmetlerini beraberinde getirdiğini unutmamak gerekiyor ve güvenliği bulut yerlisi geliştirmeyi engelleyen yahut zedeleyen bir öge yerine teknolojiyi başarılı bir halde benimsemek için gereken bileşenlerden birisi olarak görmek gerekiyor.

Küçük gecikmeler, şirketlerin bulut yerlisi güvenlik olaylarında endişelendiği mevzuların en sonlarında yer alıyor lakin araştırma, daha da önemli bir tesir yaratmasının mümkün olduğunu gösteriyor. Araştırma için yapılan anketi cevaplayanların yüzde 21’i güvenlik olaylarının bir çalışanın işten çıkarılmasına, yüzde 25’i de şirketlerinin cezaya çarptırılmasına neden olduğunu söylüyor. Güvenlik olayları, bariz tesirlerine ek olarak BT tertibinde pahalı yetenek, bilgi ve tecrübe kaybına neden olabiliyor. Ayrıyeten uyumluluk yahut bilgi ihlalleri nedeniyle düzenleyici para cezalarıyla karşı karşıya kalan şirketler, olumsuz bir haberle anılmaya ek olarak değerli bir mali yük ile karşı karşıya kalıyor.

Ankete katılanların yüzde 37’si gelir/müşteri kaybını konteyner ve Kubernetes güvenlik olayıyla irtibatlı olduğunu saptıyor. Bu olaylar kritik projelerin yahut yeni bir sürümün paylaşılmasını geciktirebileceği için şirketlerin geliştirme evresinde gözden kaçabilen zafiyetleri gidermek için güvenlik çalışmalarına öncelik vermesi gerekiyor. Bu gecikmeler şirketlerde daha fazla gelir kaybı, müşteri memnuniyetsizliği ve rakiplere karşı pazar hissesinin küçülmesi üzere daha önemli sonuçlara neden olabiliyor. Tıpkı vakitte müşterilerin gözünde şirketin hassas bilgileri müdafaa marifetini kuşkuya düşürdüğü için o müşterinin bir daha geri dönmemek üzere büsbütün kaybedilmesiyle sonuçlanabiliyor.

Güvenliği bulut yerlisi stratejinin birinci etaplarında önceliklendirerek şirketler hassas bilgiler, fikri mülkiyet ve müşteri bilgisi üzere kurumsal varlıkları koruyacak yatırımlar yapıyor. Birebir vakitte mevzuat gerekliliklerini daha yeterli karşılayabiliyor, iş sürekliliğini sağlayabiliyor, müşteri inancını koruyabiliyor ve ilerleyen evrelerde güvenlik problemlerini daha az maliyetle düzeltebiliyor.

Yazılım tedarik zincirinin güvenliğine gösterilen dikkat hiç olmadığı kadar yüksek. Sonatype’ın araştırmasına nazaran son üç yılda yazılım tedarik zinciri ataklarında ortalama yıllık yüzde 742 oranında önemli bir artış gözlemleniyor. BT önderlerinin zihinlerini meşgul eden belli tedarik zinciri kaygılarına ışık tutmak için anketimize katılanlara Kubernetes’teki yazılım tedarik zinciri güvenliğiyle ilgili en çok telaş veren olayın hangisi olduğu ve rastgele bir olay yaşayıp yaşamadıkları üzere çeşitli sorular sorduk.

Araştırmada ortaya çıkan bulgular, konteynerleştirilmiş bir ortamın simgesi haline gelen ve genişleyen yazılım tedarik zincirlerinde oluşabilecek problemlere dair kestirimleri takviyeler nitelikte. Hususla ilgili en büyük üç kaygı ise sırasıyla savunmasız uygulama bileşenleri (yüzde 32), yetersiz erişim denetimleri (yüzde 30) ve yazılım materyal listesi (SBOM) ve kaynak eksikliği (yüzde 29) olarak sıralanıyor.

Yanıt verenlerin yarısından fazlasının soruda tanımlanan neredeyse her sorunu deneyimlemiş olması ise dikkat edilmesi gereken bir husus olarak öne çıkıyor. Karşılaşılan bu sıkıntılar ortasında savunmasız uygulama bileşenleri ve CI/CD akışındaki zafiyetler ise en sık gözlemlenen iki sorun olarak sıralanıyor.

Öte yandan şirketlerin yazılım tedarik zincirlerinin güvenliğini güçlendirecek adımlar atıyor olması ise olumlu bir gelişme olarak dikkat çekiyor. Yazılım tedarik zinciri güvenliği karmaşık ve çok taraflı bir alan fakat kapsamlı bir DevSecOps yaklaşımına sahip olmak, tesirli bir strateji haline geliyor. Ankete katılanların yüzde 39’u, DevSecOps’un kıymetini anlıyor ve bu yaklaşımı kullanmanın şu anda birinci basamaklarında yer alıyor.

Tüm bunların dışında şirketler yazılım bileşenlerinin ve bağımlılıkların güvenliğine yazılım geliştirme hayat döngüsünün başlarında odaklanarak ve her kademede güvenliğin entegrasyonunu otomatikleştirmek için DevSecOps uygulamalarını kullanarak tutarsız ve manuel süreçlerden dengeli, tekrarlanabilir ve otomatik operasyonlara geçebiliyor.

Oyun Haberleri

Değerlendirme
0 (0 Oy)