Oleh: Ajmal Kohgadai, Principal Product Marketing Manager for Red Hat Advanced Cluster Security for Kubernetes
Meskipun Kubernetes termasuk teknologi yang relatif masih muda, tingkat pengadopsiannya melonjak dalam beberapa tahun terakhir karena platform orkestrasi container itu telah menjadi landasan bagi banyak inisiatif transformasi digital. Bahkan saat organisasi sudah mapan menggunakan teknologi dalam proses produksi, masih ada kekhawatiran mengenai cara-cara terbaik untuk mengamankan beban kerja containerized.
Laporan The State of Kubernetes Security for 2023 dari Red Hat melihat risiko keamanan spesifik yang dihadapi organisasi dalam pengembangan cloud-native, termasuk risiko dalam rantai pasok software mereka, dan bagaimana mereka memitigasi risiko tersebut untuk melindungi aplikasi dan lingkungan IT mereka.
Laporan ini dibuat berdasarkan survei terhadap 600 profesional DevOps, engineering, dan keamanan dari seluruh dunia dan mengungkap beberapa dari tantangan keamanan paling umum yang dihadapi organisasi dalam perjalanan pengadopsian cloud-native mereka dan dampaknya terhadap bisnis. Laporan ini juga memberikan praktik terbaik dan panduan untuk pengembangan aplikasi dan tim keamanan yang bisa menurunkan risiko keamanan mereka.
Beberapa penemuan penting tahun ini di antaranya:
- 38% responden menyatakan bahwa investasi keamanan dalam operasional yang containerized masih perlu ditingkatkan lagi, baru ada peningkatan sebesar 7% dari tahun 2022.
- 67% responden harus memperlambat pengadopsian cloud native karena masalah keamanan.
- Lebih dari setengah responden pernah mengalami masalah rantai pasokan terkait dengan cloud-native dan pengembangan containerized dalam 12 bulan terakhir.
Investasi tidak sesuai dengan pemakaian
Dalam beberapa tahun terakhir, kami secara konsisten telah melihat bahwa keamanan tetap menjadi salah satu masalah terbesar dalam pengadopsian container. Survei tahun ini juga membuktikan begitu, di mana 38% responden menyatakan masalah keamanan kurang dianggap serius atau kurang banyak berinvestasi dalam keamanan – hanya naik 7% pada tahun lalu. Apa yang menarik di sinilah adalah laju pemakaian terus meningkat, namun pertumbuhan tersebut tidak selalu diikuti dengan pertumbuhan yang sama dalam investasi keamanan.
Solusi cloud-native membutuhkan solusi keamanan cloud-native, yang seringkali bisa (dan seharusnya) menyertakan pendekatan DevSecOps. Tim IT harus fokus untuk memilih dan mengimplementasikan tool keamanan yang memberikan masukan dan pengamanan dalam pipeline aplikasi CI/CD serta pipeline infrastruktur. Organisasi harus membuat perencanaan untuk transisi ini sebagai bagian dari inisiatif transformasi mereka dan tidak hanya mengandalkan solusi yang ada, yang sering kali membutuhkan penyesuaian besar untuk memenuhi tuntutan komputasi cloud-native.
Salah satu cara terbaik untuk mengatasi kesenjangan antara investasi dan adopsi adalah dengan berinvestasi di tool cloud-native dengan keamanan yang sudah ditanamkan, daripada ditambahkan. Dengan keamanan yang diintegrasikan ke dalam solusi tersebut – mulai dari fondasi sistem operasional hingga ke level aplikasi – organisasi tidak harus menambah anggaran untuk solusi keamanan yang selaras dengan teknologi terbaru mereka.
Kekhawatiran mengenai keamanan menghambat outcome bisnis
Salah satu alasan utama untuk mengadopsi teknologi cloud-native adalah agility-nya. Time to market yang lebih cepat, adaptabilitas dan keunggulan adalah kekuatan teknologi cloud-native dan pendorong utama bagi enterprise untuk secara digital mentransformasi infrastruktur mereka. Namun kekuatan ini tidak selalu terealisasi – dengan survei yang menemukan bahwa 67% responden harus menunda atau memperlambat penggelaran aplikasi karena masalah keamanan. Hal ini tidak terlalu mengejutkan mengingat teknologi baru seringkali menciptakan tantangan keamanan tak terduga, namun keamanan seharusnya dilihat sebagai satu komponen kesuksesan dalam pengadopsian teknologi, bukan sebagai penghambat, atau merugikan pengembangan cloud-native.
Penundaan kecil sering kali menjadi kekhawatiran terakhir bagi organisasi ketika mereka mengalami insiden keamanan cloud-native, dengan survei yang menunjukkan dampak bisnis yang lebih parah bahkan mungkin terjadi. 21% responden mengatakan bahwa insiden keamanan bisa mengakibatkan terminasi hubungan kerja, dan 25% mengatakan bahwa organisasi mereka mendapat denda. Di luar dari dampak yang terkait, masalah ini bisa mengakibatkan hilangnya talenta yang berharga, pengetahuan, dan pengalaman bagi organisasi IT dalam skala besar. Lebih dari itu, bisnis yang terkena denda peraturan karena pelanggaran kepatuhan atau pelanggaran data menghadapi beban keuangan yang signifikan, belum lagi publisitas negatif.
37% responden menganggap kehilangan pendapatan/pelanggan adalah akibat dari insiden keamanan container dan Kubernetes. Insiden ini bisa mengakibatkan penundaan proyek penting atau perilisan produk karena bisnis harus memprioritaskan upaya keamanan untuk mengatasi kerentanan yang luput di tahap pengembangan. Penundaan ini bisa memberikan efek riak terhadap bisnis, sehingga mengakibatkan kerugian pendapatan lebih besar, ketidakpuasan pelanggan, atau bahkan hilangnya pangsa pasar yang beralih ke kompetitor. Kejadian ini juga bisa mengikis kepercayaan pelanggan kepada perusahaan dalam hal kemampuan bisnis untuk melindungi data sensitif, sehingga bisa mengakibatkan kehilangan pelanggan dalam jumlah besar.
Dengan memprioritaskan keamanan di awal dalam strategi cloud-native, organisasi berinvestasi dalam melindungi aset bisnis seperti data sensitif, properti intelektual, dan informasi pelanggan. Mereka juga bisa dengan lebih baik memenuhi persyaratan peraturan, mendorong keberlanjutan bisnis, menjaga kepercayaan pelanggan, dan mengurangi biaya pemulihan masalah keamanan di kemudian hari.
Kekhawatiran dalam keamanan rantai pasokan software
Perhatian terhadap keamanan rantai pasokan software selalu tinggi – dan karena alasan yang baik. Sonatype melaporkan bahwa ada peningkatan tahunan rata-rata sebesar 742% dalam serangan Software Supply Chain yang mengejutkan, dalam tiga tahun terakhir.[1] Untuk mengidentifikasi masalah rantai pasokan khusus yang membuat para pemimpin IT tidak bisa tidur, kami mengajukan berbagai pertanyaan kepada para responden terkait dengan keamanan rantai pasokan software di Kubernetes, termasuk insiden apa yang paling mengkhawatirkan dan apakah mereka mengalaminya di tahun lalu.
Penemuan ini sejalan dengan apa yang diharapkan dari rantai pasokan software luas yang merupakan simbol dari lingkungan containerized. Tiga kekhawatiran utama yaitu komponen aplikasi yang rentan 932%, kontrol akses yang tidak cukup (30%) dan kurangnya software bill of materials (SBOM) atau sumbernya.
Namun, yang mengkhawatirkan adalah lebih dari setengah responden pernah mengalami hampir setiap masalah yang kami tanyakan, dengan komponen aplikasi yang rentan dan kelemahan saluran continuous integration/continuous delivery (CI/CD) sebagai dua masalah teratas yang paling banyak dialami.
Berita baiknya adalah banyak organisasi mengambil langkah untuk membantu mengamankan rantai pasokan software dengan lebih baik. Walaupun keamanan rantai pasokan software adalah bidang yang rumit dan multifaset, memiliki pendekatan DevSecOps yang komprehensif adalah strategi yang efektif. Hampir setengah dari responden memiliki inisiatif DevSecOps di tahap lanjut. 39% lainnya memahami nilai dari DevSecOps dan berada di tahap awal pengadopsian.
Selain itu, dengan berfokus pada keamanan komponen software dan ketergantungan di awal siklus hidup pengembangan software dan memanfaatkan praktik DevSecOps untuk mengotomatisasi integrasi keamanan di setiap fase, organisasi mampu beralih dari proses manual yang tidak konsisten ke operasional yang konsisten, bisa diulangi dan terotomatisasi.
