Kubernetes en una encrucijada

A pesar de que para muchos programadores sigue pareciendo “un nuevo juguete”, la tecnología de contenedores existe desde hace tiempo. Pero no ha sido hasta la rápida evolución de las aplicaciones basadas en contenedores en los últimos años cuando las empresas han empezado a desplegar estos entornos de forma masiva. De hecho, informes recientes sugieren que nos estamos acercando a un punto de inflexión en el uso de contenedores.

Sin embargo, estos datos también revelan que la forma en que la mayoría de las empresas protegen sus contenedores sigue siendo inadecuada. De hecho, algunas conclusiones recientes sugieren que los entornos de Kubernetes (K8s), pertenecientes a más de 350 organizaciones (incluidas varias empresas de la lista Fortune 500), están a día de hoy “abiertamente accesibles y desprotegidos”. Entonces, ¿en qué se siguen equivocando las empresas?

Dos pasos adelante y uno hacia atrás

Un informe de 2023 del Enterprise Strategy Group describe el mercado de los contenedores como “al rojo vivo”. Casi la mitad (47%) de las empresas declararon que utilizan contenedores en la actualidad, mientras que el 35% tiene previsto hacerlo en los próximos 12 meses. Si todos estos planes se hacen realidad, el 82 % de las organizaciones utilizarán contenedores a finales de 2024.

Es habitual confundir contenedores con Kubernetes. Aunque esto no es exacto, ya que se trata simplemente de una plataforma para gestionar contenedores, el informe indica que se está convirtiendo en el estándar. Actualmente, el 66% de las organizaciones lo utilizan para gestionar y orquestar sus contenedores. Esencialmente, se trata de un nombre de producto que se ha extendido mucho y que supone un sinónimo del producto en sí, como JCB, Kleenex o Frisbee.

Pero “al rojo vivo” es una forma adecuada de describir el uso actual de los contenedores en más de un sentido. Con las prácticas actuales, demasiadas empresas corren el riesgo de quemarse. Según el mismo informe, menos de la mitad de las organizaciones que han implantado contenedores incluyeron la protección de datos en el proceso de diseño de la arquitectura. En cambio, el 19% sólo se cuestionó cómo proteger sus contenedores una vez finalizada la implantación y, lo que es peor, el 33% se limitó a utilizar las herramientas y procesos de protección de datos existentes. Esto es sintomático de la brecha de conocimientos en torno a los contenedores y Kubernetes y, en algunos casos, sobre la protección de datos en general.

Hora de pasar página

Abordemos primero el peor problema. Según Enterprise Strategy Group, un tercio de las organizaciones que utilizan contenedores siguen empleando las mismas herramientas y procesos de protección de datos que utilizarían en una aplicación “normal”. Esto es ineficaz por varios motivos. Mientras que las soluciones de copia de seguridad tradicionales se centran principalmente en las máquinas virtuales (VM) o en las copias de seguridad a nivel de archivos, Kubernetes exige un enfoque más matizado, dada su naturaleza dinámica y nativa de la nube. Realizar copias de seguridad de un entorno basado en contenedores con una solución de copia de seguridad tradicional es como intentar tomar una instantánea de una ciudad con una fotografía. Puede que captes los edificios, pero no te harás una idea del flujo de tráfico ni de lo que ocurre en su interior o bajo tierra.

Pero si es así, ¿por qué lo hacen las organizaciones? En la mayoría de los casos, se trata simplemente de un problema de concienciación. Las empresas creen que la solución funciona. Al fin y al cabo, tienen copias de seguridad, así que no ven la diferencia hasta que ocurre algo malo, como un ciberataque. En cuanto intentan recuperar el entorno basado en contenedores utilizando esta copia de seguridad, se dan cuenta de que su copia de seguridad no puede “visualizar” los clústeres K8s. Una solución tradicional sólo realiza copias de seguridad de la máquina virtual que contiene el entorno en contenedores, lo que puede dar lugar a todo tipo de problemas, como copias de seguridad incompletas, estados incoherentes, ineficacia y lagunas de seguridad, por nombrar algunos.

Protección de datos desde/por el diseño

Así pues, comprender la necesidad de proteger los contenedores con un sistema que entienda sobre los mismos es el primer obstáculo mental que hay que superar. Pero hay un obstáculo más antes de la línea de meta. Al implantar Kubernetes, la protección de datos debe formar parte del plan desde la fase inicial de diseño. Hay una larga lista de razones para ello, pero se reduce a la eficiencia de los recursos (en términos informáticos y financieros), la oportunidad de probar y validar, y lo más importante de todo: garantizar una recuperación fiable y rápida. En realidad, la copia de seguridad es la parte fácil, lo difícil es la recuperación. Construir pensando en la recuperación con unos KPI claros, a saber, Objetivo de Punto de Recuperación (RPO) y Objetivo de Tiempo de Recuperación (RTO), es esencial. Sin embargo, esto es infinitamente más fácil de conseguir cuando forma parte del plan desde el primer día.

Con casi una de cada cinco organizaciones cometiendo este error, se trata de un problema anticuado para una tecnología nueva. Si echamos la vista atrás diez o veinte años, cuando las organizaciones protegían sus servidores físicos, podemos ver que los detalles técnicos han cambiado, pero la razón del problema sigue siendo la misma: las copias de seguridad son “pesadas y aburridas”. Es como mirar los airbags cuando se construye un nuevo deportivo: nadie los hace por ellos, aunque a menudo salvan vidas. Por eso existe el riesgo de que nadie piense en ello en las primeras fases de desarrollo. Pero si ya se ha construido el chasis y se ha añadido un salpicadero de alta tecnología, poner esa última medida de seguridad va a ser mucho más caro de lo necesario.

Eso no quiere decir: “Si aún no has pensado en ello, no te molestes”. Las organizaciones deben contar con planes de backup y recuperación probados y contrastados. Según el Data Protection Trends Report de 2023 de Veeam, el 85% de las organizaciones sufrieron al menos un ciberataque en los últimos doce meses; un aumento con respecto al 76% experimentado el año anterior. Si ese trabajo se realiza después del diseño de un entorno en contenedores, puede que requiera algún rediseño y refactorización, pero eso es mejor que la alternativa de no estar preparado durante un ataque de ransomware exitoso.