מי אחראי על אבטחת הקונטיינרים בארגון?

מי אחראי על אבטחת הקונטיינרים בארגון, מי צריך לעשות זאת והאם הוא אמנם עושה זאת – אלה שלוש מהשאלות המרכזיות שנשאלו 512 מומחים טכנולוגיים בארגונים, בין היתר אנשי אבטחה ו-DevOps, בסקר שערכה אקווה סקיוריטי (Aqua Security).

מהנתונים שאספה החברה, שפועלת בתחום, עולה כי האחוז הגבוה ביותר של המשיבים סבורים שאנשי אבטחת המידע בארגון צריכים להיות אחראיים על אבטחת הקונטיינרים, בעוד שבקרוב לחצי מהארגונים אנשי ה-DevOps הם אלה שעושים זאת. 35% מהמשיבים טוענים שאנשי אבטחת המידע הם אלה שצריכים לעשות זאת, בעוד ש-28% סבורים שיש להטיל את התפקיד על אנשי ה-DevSecOps. אנשי ה-DevOps זוכים ל-23% והאחראים על הלימה לרגולציות (Compliance) – ל-5% בלבד. בפועל, ב-43% מהארגונים עושים זאת אנשי ה-DevOps, ב-36% – אנשי האבטחה וב-13% – מומחי ה-DevSecOps.

עוד עולה מהנתונים כי מחצית מהמשיבים משתמשים בקונטיינרים בסביבת הייצור ו-80% רואים מקום לשיפור של אבטחת האפליקציות בעידן הקונטיינרים. 53% מדרגים פגיעויות באימג'ים ובקוד כתחום עיקרי לטיפול. אצל אלה המשתמשים בקונטיינרים ביותר מיישום אחד בייצור, ניהול סודות (management (Secrets בקונטיינרים קיבל מקום מרכזי.

באקווה סקיוריטי אומרים כי ארגוני אנטרפרייז הולכים בעקבות חברות כמו פייסבוק (Facebook), נטפליקס (Netflix) וגוגל (Google), שנהנות משימוש בקונטיינרים בזכות יתרונות אג'יליות, רווחיות וחסכון בעלויות. עם זאת, לדבריהם, הכנסת תהליכים חדשים ושינויים בתשתיות דורשת שינוי משמעותי במיקוד.

"המטרה שלנו הייתה לנתח כיצד תפקידים שונים, גודל החברה ועומק השימוש משפיעים על גישות לאבטחה בשוק שמתפתח במהירות רבה", אמר רני אסנת, סמנכ"ל השיווק של אקווה סקיוריטי. "תוצאות הסקר מראות כי בעוד צוותי אבטחת מידע מחפשים שליטה בלעדית על הנושא, ההיכרות שלהם עם קונטיינרים לוקה בחסר בהשוואה למי שיש להם ניסיון מעשי בפיתוח ובהטמעה. מקצועני IT מבינים שהדרך בה הם מנהלים אבטחת קונטיינרים חייבת להשתנות וכי DevSecOps תהפוך למציאות, בין אם על ידי שיבוץ אנשי אבטחת מידע בתוך DevOps, באמצעות בניית צוותים בין תחומיים או בשיטות אחרות".

"השינוי המשמעותי שקונטיינרים מביאים לאספקת והטמעת אפליקציות מחייב גישה יותר שיתופית מצד צוותי אבטחה ו- DevOps. ארגונים יעשו נכון אם ישבצו את נושא האבטחה בתהליך בשלב מוקדם, במקום ליישם בקרות לאחר מעשה", אמר דאג קאהיל, אנליסט בכיר לאבטחת סייבר ב- Enterprise Strategy Group.