¿Por qué estamos jugando con los backups de los datos de Kubernetes?

Escribe Danny Allan, CTO de Veeam

El ritmo de los cambios en las empresas de IT ha sido rápido en las últimas dos décadas, ya que tecnologías como la IA, la analítica y el IoT alteraron el funcionamiento tradicional de estas. Con la aparición de cada nueva tecnología, las organizaciones tienen que volver a aprender las estrategias que antes empleaban para proteger los datos y las aplicaciones con las tecnologías antiguas.

A veces se olvidan las lecciones del pasado. Entran en un modo de "moverse rápido, romper cosas" y se pasan por alto las mejores prácticas. Sucedió con el cambio de Microsoft Exchange local a Office 365 en la nube, y ahora está sucediendo con los contenedores.

Los contenedores en auge


El uso de contenedores se está expandiendo por toda la empresa, lo que podría suponer un reto importante para las áreas de IT. Una encuesta de la Fundación de Computación Nativa en la Nube (CNCF) de 2020 reveló que el 92% de las empresas encuestadas utilizan contenedores en producción, donde el 83% de esas implementaciones utilizan Kubernetes. Pero, mientras el uso de contenedores ha ido en aumento, los enfoques de protección de datos no han seguido el ritmo. Los empleados suelen desplegar plataformas tecnológicas, aplicaciones y servicios modernos sin la aprobación explícita del departamento de IT. Como resultado, estamos jugando a ponernos al día con los contenedores y el backup de los datos.

Esto pone en riesgo a las organizaciones. En un mundo DevOps, donde Kubernetes orquesta las acciones, los desarrolladores tienen más libertad para realizar funciones de autoservicio. Más desarrolladores tienen acceso a los sistemas principales, y esto crea un mayor riesgo de configurar mal una base de datos o borrarla. Un movimiento en falso podría eliminar el servicio digital que el equipo acaba de construir, o los datos podrían ser robados o perdidos. Si se tiene un cubo mal configurado en la nube, se puede exponer todo tipo de datos de marketing. Hay que pensar en la protección de los datos y en los backups desde el principio, ya que hay más posibilidades de que las cosas salgan mal.

Una colaboración entre DevOps y Platform Ops


El énfasis de la cultura DevOps en el "cambio hacia la izquierda" está poniendo demasiada responsabilidad en los desarrolladores para hacer backups de los datos. Estos introducen órdenes de una sola línea para realizar las tareas de copia de seguridad que están tratando de lograr. El reto es que un desarrollador puede no entender principios básicos como el enfoque de política 3-2-1 para los backups que las empresas han establecido en las últimas décadas o porqué la inmutabilidad es tan importante. Todo lo que saben es que ahora pueden realizar estas copias como una función de autoservicio mucho más fácil de lo que podían antes.

Para resolver esto, todavía es necesario que haya una responsabilidad compartida entre los equipos de DevOps y PlatformOps, donde estos últimos son los responsables de que se realicen las tareas de cumplimiento y protección. Mientras que, los DevOps tienen que entenderlo - y deben ser habilitados. Pero su responsabilidad debe estar en lograr la creatividad y la creación más que en mantener el cumplimiento de las plataformas.

Aumento de los ataques a Kubernetes en el horizonte


En muchos sentidos, el proceso de garantizar los backups en entornos Kubernetes no es diferente al de los entornos que no lo son. Las tecnologías son distintas y la superficie de ataque es menor. Sin embargo,está creciendo a medida que más empresas adoptan los contenedores y hacen su orquestación utilizando Kubernetes.

Lo mismo ocurrió con los sistemas operativos de las computadoras. ¿Por qué Windows tuvo tantos bugs y malware como objetivo durante tanto tiempo? Porque era el sistema operativo predominante. Pero ahora vemos un número similar en la plataforma Mac porque se ha puesto al día. Kubernetes no ha experimentado un gran número de vulnerabilidades porque el retorno de la inversión para el atacante no está ahí, todavía.

Pero las cosas están cambiando. Hace apenas unas semanas, la versión actualizada de Kali Linux -una distribución de Linux con dos décadas de antigüedad dirigida específicamente a los pen-testers- incluía un marco llamado Peirates para atacar un clúster de Kubernetes. Eso te dice que la superficie de ataque está aumentando. Si están incluyendo herramientas de ataque específicamente para Kubernetes, significa que estamos cruzando un punto de inflexión en el que se están volviendo importantes. Si los piratas informáticos lo atacan, van a borrar los datos o a cifrarlos para obtener un ransomware. Y si lo hacen, más vale que las empresas tengan un backup para ello.

A medida que activamos una mentalidad DevOps y más personas tienen acceso a los sistemas de datos, necesitamos implementar los controles adecuados para proteger y recuperar los datos lo más rápido posible.

(*) Danny Allan: Vicepresidente de Estrategia de Producto de Veeam