La nécessité de protéger Kubernetes dans l'infrastructure cloud.

Avec l'adoption massive des technologies de conteneurs, aucune n'est plus importante que Kubernetes, le cluster standard de facto et le système de gestion de la charge de travail pour le public. nuage et environnements sur site.

L'enquête Flexera 2022 de longue date sur l'état du cloud qui suit l'adoption et l'utilisation du cloud a révélé que près des trois quarts des entreprises utilisent actuellement ou prévoient d'utiliser Kubernetes, avec des taux d'adoption comparables entre les services Kubernetes sur site et cloud gérés.

Les services Kubernetes des fournisseurs de cloud public continuent de gagner du terrain auprès des clients, et leur utilisation a maintenant dépassé les principaux outils sur site. Les entreprises utilisent ou prévoient d'utiliser cette année des outils spécifiques aux fournisseurs de cloud d'Amazon Web Services, suivis de près par Azure Kubernetes Service (AKS), avec Google Kubernetes Engine (GKE) qui gagne également. Kubernetes (le open source distribution) et Docker restent en tête de liste, mais leur utilisation continue de diminuer, en particulier parmi les grandes entreprises en faveur des services de fournisseur de cloud, bien que des environnements de cloud hybride et sur site soient souvent utilisés.

Les services cloud de Kubernetes laissent des risques pour les données et la sécurité

Les services cloud Kubernetes sont populaires car ils atténuent, mais n'éliminent pas, les difficultés d'exploitation d'un environnement Kubernetes. Les premiers utilisateurs de Kubernetes confondent souvent ses fonctionnalités de haute disponibilité inhérentes et ses interfaces de configuration programmatique avec un substitut approprié aux capacités traditionnelles de sauvegarde et de reprise après sinistre (DR). Leur raisonnement erroné confond la capacité de redémarrer et de remplacer automatiquement les nœuds de cluster et d'automatiser la configuration et le déploiement du cluster avec la capacité de restaurer de manière fiable les applications conteneurisées et leurs données. Bien que ces fonctionnalités soient inestimables pour les applications Web scale-out sans état pour lesquelles Kubernetes a été conçu, elles ne couvrent pas les besoins des applications d'entreprise avec état.

Les points forts de Kubernetes (nœuds à réparation automatique, déploiement et restauration automatisés de la charge de travail, mise à l'échelle automatique et équilibrage de charge) reflètent ses paramètres de conception initiaux pour les services Web sans état. En revanche, ses faiblesses - le manque de capacités inhérentes de sauvegarde des données et de DR et un modèle opérationnel multicouche pour la gestion de la sécurité et de la configuration - nécessitent des outils supplémentaires pour faire de Kubernetes une plate-forme d'entreprise robuste.

Pourquoi la protection des données pour Kubernetes est nécessaire

La protection des données n'a pas toujours été une préoccupation pour les conteneurs, car les premiers utilisateurs étaient généralement des applications Web sans état ou des applications lift-and-shift, avec un stockage en dehors de l'environnement de conteneur sur des systèmes qui exécutent déjà un logiciel de sauvegarde. Cependant, les applications Kubernetes utilisant le stockage persistant deviennent la norme à mesure que les entreprises déploient des charges de travail de production, et pas seulement pour le développement et les tests d'applications.

Il existe plusieurs raisons pour lesquelles la protection des données, qui comprend les sauvegardes et les instantanés de stockage, devrait faire partie intégrante de l'environnement d'application Kubernetes de production. Ces raisons ou cas d'utilisation incluent :

• Erreur humaine ou de programmation pouvant écraser accidentellement les fichiers d'application ou de configuration.

• Les failles de sécurité et les rançongiciels qui suppriment ou cryptent les données de manière malveillante.

• Les sinistres provoquant des pannes à grande échelle dans une installation qui rendent impossible la reconstitution d'une application Kubernetes à un autre emplacement sans copies hors site des fichiers d'image, de configuration et d'application.

• Les migrations d'applications et d'environnements qui nécessitent le même accès aux données d'application et de configuration archivées qu'une reprise après sinistre.

• La conformité réglementaire nécessite souvent la capture périodique et immuable des données d'application. Ces sauvegardes de données doivent prendre en charge les verrous de rétention pour les rendre immuables afin de prendre en charge les exigences de rétention.

Pourquoi un service de protection des données basé sur le cloud

Il est essentiel de disposer d'un service de protection des données et de reprise après sinistre basé sur le cloud, car il s'aligne sur le nombre croissant de services Kubernetes gérés basés sur le cloud, tels qu'Amazon Elastic Kubernetes Service (EKS), AKS et GKE. Comme indiqué ci-dessus, entre 60 et 70 % des entreprises utilisent ou prévoient d'utiliser un ou plusieurs des services de conteneur cloud, pour la même raison que le SaaS et d'autres services cloud gérés sont de plus en plus populaires.

Étant donné que Kubernetes n'inclut pas de fonctionnalités natives de protection des données, les organisations qui migrent des charges de travail virtualisées ou qui créent de nouvelles applications avec état basées sur des microservices doivent intégrer la protection et la sécurité des données dans leur architecture Kubernetes. Un service de protection des données efficace doit avoir plusieurs propriétés :

• Soyez indépendant de l'infrastructure et des services et capable de travailler avec des logiciels sur site ou des services gérés dans le cloud.

• Prise en charge des dernières distributions Kubernetes et de l'interface de stockage de conteneur (CSI) Kubernetes.

• Exposez les API qui permettent l'automatisation des tâches pour l'intégration continue et la livraison continue ou CI/CD et intégrez-les aux systèmes de gestion d'infrastructure existants.

• Activer la migration des données dans différents environnements cloud et sur site Kubernetes.

• Soyez proactif dans la détection et l'alerte en cas d'activité suspecte et de compromission potentielle des données.

Pourquoi un service de protection des données cloud spécialement conçu ?

Les outils de protection des données fournis par les outils de services cloud ne capturent pas tout l'état ou les informations d'une application à partir de ressources dépendantes telles que les bases de données, et ils ne fonctionnent pas sur les environnements sur site et ceux de leurs concurrents. Les outils de sauvegarde open source tels que Velero ne sont pas conçus pour les opérations multi-cloud et nécessitent une quantité importante de configuration manuelle pour prendre en charge les clusters multi-cloud et les restaurations de données. Bien que des outils comme Velero soient une solution adéquate pour un cluster, une fois qu'un environnement Kubernetes s'étend à plusieurs clusters, il est presque impossible à gérer. Ajoutez plusieurs plates-formes cloud et la complexité devient intenable.

Les services et logiciels et services de gestion Kubernetes existants traitent la protection des données comme un problème distinct, bien qu'il s'agisse d'un élément nécessaire d'une architecture d'entreprise native du cloud. De plus, les applications Kubernetes d'entreprise peuvent avoir des dépendances de données et de code en tant qu'infrastructure qui sont externes à l'environnement Kubernetes. Et en raison de l'utilisation croissante d'environnements hybrides et multi-cloud, un produit de protection des données spécialement conçu est nécessaire, indépendant du cloud et de la plate-forme de gestion Kubernetes, prenant en charge le stockage de données multi-cloud et multi-régions, prenant en charge les méthodologies CI/CD, et permet la migration des données entre les environnements.