Um novo estudo sobre o estado atual da segurança de nuvem nativa descobriu que um número considerável de líderes de segurança e de TI não compreende os riscos de segurança envolvidos na migração de aplicativos legados para a nuvem, que podem abrir brecha para uma série de ataques. Conduzida pela empresa de segurança cibernética Venafi, a pesquisa entrevistou 800 CISOs e CIOs em organizações de quatro países — EUA, Reino Unido, Alemanha e França. O estudo foi realizado para examinar as principais ameaças e desafios enfrentados atualmente pela segurança nativa da nuvem.
“As equipes de desenvolvimento de aplicativos estão se movimentando cada vez mais rápidas para manter seus negócios na liderança, recorrendo a estratégias como conteinerização e microsserviços, que tornaram os aprimoramentos de aplicativos uma realidade”, diz o relatório da Venafi. “Mas em muitos casos, a segurança nativa da nuvem está ficando para trás, e há pouca clareza sobre quem deve desempenhar a função de segurança dentro das equipes de engenharia, plataforma e desenvolvimento.”
O relatório observou que a falta de clareza é um grande problema quando se trata de proteger identidades de máquinas — os autenticadores que protegem comunicações e conexões dentro de um cluster de contêineres – pois eles servem como base da segurança nativa da nuvem.
“Apesar de sua importância relativa, a aplicação de identidades de máquina em implementações nativas da nuvem, como malhas de serviço, segurança da cadeia de suprimentos de software e assinatura de código de artefatos de desenvolvimento, é frequentemente mal compreendida”, acrescenta o relatório.
Os entrevistados revelaram que estão mudando rapidamente para a nuvem para acabar com os longos ciclos de desenvolvimento e lançamento de aplicativos, pois não podem se dar ao luxo de esperar por novos recursos críticos. Oitenta e sete por cento dos entrevistados disseram que migraram seus aplicativos legados para a nuvem.
No entanto, há uma grande lacuna na compreensão das implicações de segurança dessa transição, com mais da metade (59%) dos entrevistados dizendo que não entendiam os riscos de segurança que acompanhavam a mudança de aplicativos legados para a nuvem. Outros 53% admitiram ter acabado de migrar para a nuvem, com a maior parte do código do aplicativo permanecendo o mesmo.
Outra desvantagem de mover “cegamente” aplicativos para a nuvem é o custo associado. “Cinquenta e dois por cento sofreram com a expansão da nuvem e tiveram um choque com a conta desde a mudança de aplicativos legados para a nuvem”, diz o relatório. “Setenta e sete por cento das pessoas afetadas pela expansão da nuvem e pelo choque nas contas reconsideraram a migração de aplicativos para a nuvem.”
Veja isso
Ataques ao setor industrial agora visam infraestruturas de nuvem
Falhas em dispositivos de data center podem paralisar nuvens
Outra tendência importante notada foi que a corrida para a nuvem tornou a conteinerização uma escolha popular entre os desenvolvedores, com 84% dos entrevistados acreditando que o Kubernetes em breve será a principal plataforma usada para desenvolver todos os aplicativos. À medida que o uso do Kubernetes aumenta e amadurece, a complexidade das estratégias nativas da nuvem está se tornando mais evidente.
Os entrevistados concordaram com um grau de incerteza quando se tratava de adoção de Kubernetes, com 75% dos entrevistados acreditando que a velocidade e a complexidade do Kubernetes e dos contêineres criam novos pontos cegos de segurança. Outros problemas importantes com a mudança para a conteinerização incluíram desafios na aplicação de patches (43%), vulnerabilidades causadas por configurações incorretas (41%), interrupções devido a certificados mal gerenciados (32%) e auditorias de segurança com falha (22%).
Cinquenta e nove por cento dos entrevistados disseram que tiveram problemas de segurança dentro do Kubernetes ou ambientes de contêiner. As principais causas para esses problemas incluíram violações de rede (42%), vulnerabilidades de API (41%) e configuração incorreta de certificado (39%).
Para ter acesso ao relatório completo da Venafi, em inglês, clique aqui.
