Attendere...

Container security: lo “Shift Left” è sufficiente? La prospettiva 2021 di Sysdig
11/02/2021

Secondo quanto riportato nel quarto report annuale “Sysdig Container Security and Usage”, il quale analizza come i clienti di Sysdig proteggano i loro ambienti containerizzati, Molte organizzazioni eseguono stabilmente l’analisi di scansione delle immagini già all’inizio del processo di sviluppo e creazione. Ciò indica che si sta attuando il cosiddetto paradigma dello “Shift Left”.

Tuttavia, questo dato deve essere necessariamente confrontato con i risultati di scanning che avvengono invece in ambiente di runtime (step immediatamente successivo).

In molti casi si osserva che le immagini che girano in ambiente di runtime sono in esecuzione con utenza root, configurazione in molti casi inutile ed eccessivamente permissiva.

Lo “spostamento a sinistra” è sufficiente? È sicuramente un ottimo inizio ma non si può considerare esaustivo.

 

La sicurezza si “sposta a sinistra”, ma facciamo attenzione a non lasciare la porta aperta…

Lo “Shift Left” è il paradigma che ci porta a considerare qualsiasi implicazione già nelle primissime fasi del ciclo di vita. Ovviamente anche la sicurezza rientra in queste implicazioni. Nell’analisi condotta di Sysdig possiamo osservare i seguenti risultati:

Il 74% dei clienti possono essere considerati “virtuosi”, lasciando tuttavia un campo scoperto. Infatti, sempre dall’analisi condotta da Sysdig, emerge come ben il 58% delle immagini che si trovano in ambiente di runtime vengono eseguite con i privilegi dell’utente root.

 

Confrontando tali dati con il tempo di vita medio di un’applicazione containerizzata, si ottiene il seguente risultato:

Ciò mostra che il 49% di questi container vive meno di cinque minuti e il 21% di essi vive meno di 10 secondi!

Questo rappresenta indubbiamente una sfida per il controllo dei problemi di sicurezza, poiché molti strumenti di monitoraggio non sono in grado di fornire informazioni dettagliate in un breve periodo di tempo.

 

“Spostamento” di Runtime Engine e Registry

Nell’ultimo anno abbiamo assistito ad una crescita del 200% per containerd e CRI-O come engine, rispetto ad una decrescita di Docker (sceso del 50%).

 

Questo non deve creare nessun tipo di allarme, grazie agli standard completamente open non si corre nessun rischio di lock-in (basti pensare come piattaforme “managed” quali OpenShift, GKE, EKS, ecc… supportano l’utilizzo di più runtime engine).

Per quanto riguarda invece i Registry, questi sono i dati che si vedono sui clienti oggetto dell’analisi effettuata da Sysdig:

 

Le aziende si stanno “spostando” verso l’Open

Una volta che le vulnerabilità note sono state risolte nella fase di creazione del ciclo di vita del container, occorre impostare criteri che rileveranno comportamenti anomali e attiveranno avvisi di sicurezza in fase di runtime.

La sicurezza in fase di runtime per Kubernetes è qualcosa che le aziende stanno appena iniziando ad indirizzare, per esempio grazie a soluzioni open source come Falco, il progetto open source CNCF contribuito da Sysdig.

Falco sta rapidamente guadagnando slancio e interesse, con oltre 20 milioni di pull di Docker Hub. Ciò rappresenta una crescita del 300% rispetto all'aumento del 252% dello scorso anno.

Falco consente la definizione di criteri di runtime che rilevano le violazioni della sicurezza e generano avvisi. Una volta che i clienti adottano Falco, apprezzano il modo in cui Sysdig Secure si basa su di esso per automatizzare la creazione e l'ottimizzazione delle regole di detecting.

 

Le soluzioni con metriche personalizzate offrono agli sviluppatori e ai team di DevOps tutti gli strumenti per raccogliere informazioni uniche. Questo approccio è diventato un modo molto diffuso per monitorare le applicazioni negli ambienti cloud di produzione.

Delle tre soluzioni principali, JMX, StatsD e Prometheus, è stato sicuramente Prometheus a “vincere” per il secondo anno consecutivo. Anno dopo anno, l'utilizzo di Prometheus è aumentato al 62% tra le aziende osservate, rispetto al 46% dello scorso anno.

L'open source ha cambiato sicuramente il paradigma dell’IT enterprise.

Alimenta l'innovazione non solo nell'infrastruttura, ma in particolare nello sviluppo di applicazioni. La capacità di Sysdig di rilevare automaticamente i processi all'interno dei container ci offre una visione immediata delle soluzioni che costituiscono i servizi cloud-native.

Nell’anno da poco concluso, sia Node.js che Go hanno superato l'uso di Java. Quest'anno, l'utilizzo di Go è aumentato dal 14% al 66%. Di seguito sono elencate le 10 principali tecnologie open source (non correlate ai contenitori) implementate dai clienti Sysdig:

 

 

Punti chiave

Ricapitolando quanto analizzato si possono dedurre i seguenti principi fondamentali:

  • Per stare al passo con i rischi di runtime, i team cloud-native devono agire subito per integrare la sicurezza nel processo di DevOps (= Secure DevOps)
  • La visibilità in tempo reale, che fornisce auditing dettagliati e record forensi per container effimeri, è fondamentale per proteggere le operation day-by-day
  • Le organizzazioni saranno incentivate ad investire in strumenti nativi di Kubernetes per semplificare le operazioni su larga scala
  • Prometheus conferma la sua leadership come standard per le metriche delle applicazioni cloud-native

 

Per scaricare il report completo di Sysidg clicca qui

 

Linkedin Twitter Whatsapp

ROMA

Via Paolo di Dono, 73
00142 Roma

MILANO

Piazza Indro Montanelli, 20
20099 Sesto San Giovanni

NAPOLI

Via Giovanni Porzio,
Centro Direzionale Isola F/3, SNC
80143 Napoli

VISTA TECHNOLOGY SRL - P. IVA IT14111311008