סקר אבטחת קונטיינרים בארגון חושף פערי תפיסות בין צוותי DevOps לבין אנשי אבטחת מידע
מאת:
מערכת Telecom News, 1.11.17, 14:39
ממצאי הסקר מציפים הבדלים במיקוד לגבי אבטחת קונטיינרים והאחראים לה בארגון עפ"י תפקידם, ניסיונם בעבודה עם קונטיינרים, ובשלות ההטמעה.
אקווה סקיוריטי (Aqua Security), ספקית פלטפורמת אבטחת קונטיינרים, פרסמה את תוצאות סקר 'אבטחת קונטיינרים בארגון' השנתי הראשון שלה. היא נוסדה ב-2015, ועל משקיעיה נמנים
Lightspeed Venture Partners מארה"ב,
TLV Partners,
Microsoft Ventures ושלמה קרמר. בנוסף למשרדיה ברמת גן, יש לה משרדים בסן פרנסיסקו, מסצ'וסטס ולונדון.
עם חברות כמו פייסבוק, נטפליקס וגוגל, הנהנות משימוש בקונטיינרים בזכות יתרונות אג'יליות, רווחיות וחסכון בעלויות – ארגוני אנטרפרייז אחרים הולכים בעקבותיהן. אולם, הכנסת תהליכים חדשים ושינויים בתשתיות דורשת שינוי משמעותי במיקוד.
מה המשמעות של דברים אלה מבחינת אבטחת מערכות מידע?
כדי להבין את מצב האבטחה הקיים של קונטיינרים בארגונים, סקרה החברה 512 אנשי מקצוע המשתמשים בקונטיינרים בסביבות פיתוח או פרודקשן כיום, או מתכננים להשתמש בהם בעתיד הקרוב. הנתונים נאספו דרך הרשת ובכנס, שהתקיים באוסטין, טקסס. בנוסף לפרמטרים אלה, בוחן הדו"ח גם כיצד תפיסות של נושאים אלה משתנות עפ"י ניסיון, שימוש, תפקיד וגודל החברה.
תובנות מרכזיות מסקר אבטחת קונטיינרים בארגון כוללות:
50% מהמשיבים משתמשים בקונטיינרים בסביבת פרודקשן,
80% רואים מקום לשיפור של אבטחת האפליקציות בעידן הקונטיינרים,
53% מדרגים פגיעויות (
vulnerabilities) באימג'ים ובקוד כתחום עיקרי לטיפול,
אצל אלה המשתמשים בקונטיינרים ביותר מיישום אחד בפרודקשן, ניהול "סודות" (
management (secrets בקונטיינרים קיבל מקום מרכזי,
אצל חברות המפעילות קונטיינרים בפרודקשן ביותר מיישום אחד, הגנה של הקונטיינרים נעשית בידי אנשי ה-
,DevOps אך נראה, שבעלות עתידית תעבור לידי
.DevSecOps
הסקר גם מכיל מידע רב לגבי כלי ניהול
(Orchestration) של קונטיינרים ועל האקוסיסטם של עולם הקונטיינרים, ומידע מפורט וסיווג של הממצאים, שהוצגו לעיל.
הדו"ח המלא -
כאן.
רני אסנת, (בתמונה למעלה), סמנכ"ל השיווק של אקווה סקיוריטי: "המטרה שלנו הייתה לנתח כיצד תפקידים שונים, גודל החברה, ועומק השימוש, משפיעים על גישות לאבטחה בשוק שמתפתח במהירות רבה. תוצאות הסקר מראות, שבעוד צוותי אבטחת מידע מחפשים שליטה בלעדית על הנושא, ההיכרות שלהם עם קונטיינרים לוקה בחסר בהשוואה למי שיש להם ניסיון מעשי בפיתוח והטמעה.
מקצועני
IT מבינים, שהדרך בה הם מנהלים אבטחת קונטיינרים חייבת להשתנות, וש-
DevSecOps תהפוך למציאות, בין אם ע"י שיבוץ אנשי אבטחת מידע בתוך
DevOps, ע"י בניית צוותים בין-תחומיים או בשיטות אחרות".
דאג קאהיל, אנליסט בכיר לאבטחת סייבר ב-
Enterprise Strategy Group: "השינוי המשמעותי, שקונטיינרים מביאים לאספקת והטמעת אפליקציות, מחייב גישה יותר שיתופית מצד צוותי אבטחה ו-
DevOps. ארגונים יעשו נכון אם ישבצו את נושא האבטחה בתהליך בשלב מוקדם, במקום ליישם בקרות לאחר מעשה".