20 Juli 2022
Oleh Tony Frum - Spesialis Produk, Skyhigh Security
Dalam realitas penggunaan cloud yang tinggi saat ini, baik untuk keperluan pribadi maupun bisnis, keamanan web telah menjadi perhatian utama namun sangat rumit. Arsitektur jaringan yang beragam, pengguna jarak jauh, banyaknya platform klien, membawa perangkat Anda sendiri (BYOD), memudarnya perimeter jaringan tradisional, dan pertimbangan teknis lainnya yang tak terhitung jumlahnya menantang para profesional keamanan yang berusaha mengamankan lalu lintas web organisasi mereka.
Keamanan DNS telah muncul sebagai alternatif dari solusi secure web gateway (SWG) yang menjanjikan kesederhanaan dan penerapan yang cepat. Pada dasarnya, keamanan DNS terhubung dengan resolusi nama domain untuk mencegah akses ke domain yang berisiko. Hal ini memungkinkan organisasi untuk merampingkan keamanan web dengan memperlakukan domain sebagai "lingkungan". Ini mencegah akses ke domain yang lebih berisiko dan mengarahkan pengguna ke area yang lebih aman. Meskipun pendekatan ini sangat menyederhanakan masalah keamanan web, pendekatan ini memiliki beberapa keterbatasan. Mari kita lihat lebih dekat apa yang membuat keamanan DNS begitu menarik dan menganalisis apakah ini benar-benar peluru perak yang dicari oleh banyak organisasi.
Apakah keamanan DNS sudah cukup?
Manfaat dari keamanan DNS sudah jelas. Fitur yang paling menarik adalah tidak diperlukannya perancangan ulang jaringan. Keterlibatan tim jaringan biasanya minimal. Keamanan DNS juga memungkinkan organisasi untuk memperluas perlindungan pada jaringan dengan mudah untuk mengamankan pengguna di luar kantor yang jumlahnya terus bertambah. Sebagai bonus tambahan, keamanan DNS melampaui kemampuan SWG dengan menyediakan cakupan untuk semua port dan protokol. Penegakan kebijakan itu sederhana. Anda bisa memblokir domain berisiko tinggi dan kategori web yang berpotensi berbahaya. Dengan mempertimbangkan semua manfaat ini, keamanan DNS tampaknya merupakan pilihan yang logis.
Tetapi semua kebaikan ini ada harganya. Singkatnya, visibilitas. Ketika Anda menurunkan keamanan web Anda dengan melihat permintaan DNS, Anda kehilangan konteks dan ketajaman yang penting. Solusi keamanan DNS mengetahui bahwa sebuah domain telah diselesaikan oleh klien. Namun, informasi yang relevan tentang lalu lintas yang dikirim ke domain setelah resolusi DNS tidak diketahui. Solusi keamanan DNS Anda tidak dapat menjawab pertanyaan-pertanyaan ini: "Berapa banyak lalu lintas yang dikirim ke atau diterima dari domain ini? Protokol apa yang digunakan dan pada port apa? File apa saja yang dikirimkan, dan apakah file tersebut berbahaya? Apakah ada data sensitif yang diunggah ke akun cloud pribadi?" Pertanyaan-pertanyaan yang tidak terjawab ini menggarisbawahi kurangnya visibilitas dan konteks serta mengekspos celah keamanan yang mencolok dalam keamanan DNS.
Mari kita pertimbangkan skenario terburuk. Bagaimana jika organisasi Anda menjadi sasaran ancaman berbasis web? Seberapa sulit bagi penyerang untuk menghindari keamanan DNS Anda sepenuhnya? Salah satu pilihannya adalah memasukkan konten berbahaya ke dalam domain yang "dikenal baik". Hal ini bisa jadi sepele seperti tautan bersama ke file di akun Dropbox atau OneDrive pribadi. Seorang penyerang juga dapat menghindari penggunaan nama domain sama sekali. Menggunakan URL dengan alamat IP dalam email phishing mungkin sama mudahnya mengelabui pengguna yang mudah tertipu seperti halnya tautan yang menggunakan nama host. Bahkan jika penyerang perlu menggunakan IP secara dinamis, ada cara lain untuk mendapatkan IP ke mesin korban, seperti memposting ke akun media sosial, memasukkannya ke dalam ember Amazon S3, atau banyak pilihan lainnya. Anda tidak bisa berasumsi bahwa permintaan DNS akan menjadi bagian dari setiap serangan pada lingkungan Anda.
Selain visibilitas, kontrol juga dikorbankan atas nama kesederhanaan dan penerapan yang cepat. Ketika titik kontrol Anda terbatas pada permintaan DNS, opsi respons Anda juga terbatas. Sering kali, Anda hanya memiliki opsi untuk mengizinkan atau memblokir, dan keputusan ini harus diambil tanpa konteks lain selain nama domain. Hal ini menghasilkan kebijakan yang terlalu lunak dan berisiko atau alternatif yang lebih keras yang akan menyebabkan pengguna memandang tim keamanan secara negatif. Tidak ada pilihan untuk menerapkan kebijakan yang lebih praktis seperti, "Facebook diizinkan, tetapi Anda tidak bisa mengobrol" atau "Akun Dropbox pribadi diizinkan, tetapi unggahan data sensitif dipindai."
Mengapa SWG adalah alternatif yang lebih baik dan lebih komprehensif
Dengan mengingat hal ini, jelaslah bahwa SWG memberikan banyak manfaat. Ini adalah teknologi yang sangat matang yang dibuat khusus untuk menguraikan dan meneliti satu protokol yang mungkin menyumbang lebih dari 90% lalu lintas yang dihasilkan oleh titik akhir Anda: HTTP/S. SWG menawarkan visibilitas dan konteks yang tidak tersedia pada keamanan DNS. Nama domain ditampilkan sebagai URL lengkap. Anda bisa meneliti konten dari setiap permintaan, termasuk trafik yang dikirim dan diterima oleh endpoint.
Peningkatan visibilitas ini secara langsung diterjemahkan ke dalam keamanan yang lebih baik. Solusi SWG tidak hanya memastikan bahwa pengguna mengunjungi domain yang sesuai dan tepercaya, namun juga melakukan analisis malware pada semua konten yang diunduh, termasuk tautan ke file dari akun Dropbox pribadi. Ketika konten diunggah, konten dapat dipindai untuk mencari data sensitif guna memastikan tidak ada peraturan yang dilanggar atau kekayaan intelektual yang hilang.
Tambahan terbaru pada toolkit SWG mencakup kemampuan untuk menerapkan pembatasan penyewa. Pembatasan penyewa adalah cara yang sangat penting untuk memastikan perlindungan data dengan hanya mengizinkan pengguna untuk mengakses layanan yang disetujui dengan penyewa yang disetujui (atau instance) dalam layanan tersebut. Ditambah dengan kontrol cloud access security broker (CASB), penerapan pembatasan penyewa memungkinkan data bermigrasi dengan aman "ke luar pintu" melalui solusi keamanan web sambil tetap berada dalam kendali organisasi. Karena kontrol CASB berbasis API hanya dapat diterapkan pada penyewa yang dimiliki oleh organisasi, maka melarang pengguna untuk menggunakan penyewa "bayangan" sangatlah penting.
Pemeriksaan mendalam terhadap semua lalu lintas web juga memberdayakan organisasi untuk menerapkan respons yang lebih taktis terhadap perilaku pengguna tertentu. Hal ini tidak mungkin dilakukan dengan keamanan DNS. Misalnya, dengan SWG, kontrol aktivitas adalah kemampuan umum yang memungkinkan tim keamanan untuk mengizinkan domain yang terkait dengan beberapa aplikasi awan, namun mencegah aktivitas tertentu di dalam aplikasi tersebut. Pengguna menginginkan akses ke akun Dropbox atau Evernote pribadi mereka, namun tim keamanan khawatir dengan keamanan data. Dengan menggunakan kontrol aktivitas, Anda bisa mengizinkan aplikasi ini namun mencegah pengunggahan.
Contoh lainnya adalah pembinaan pengguna. Katakanlah domain yang diizinkan telah disusupi. Daripada bereaksi dengan memblokir domain, organisasi bisa memutuskan untuk memberi tahu pengguna dan meminta mereka untuk segera mengubah kredensial mereka.
Kemajuan lain yang cukup baru memungkinkan konten yang tidak diketahui atau hanya sedikit mencurigakan risikonya untuk dilihat melalui peramban yang terisolasi. Remote browser isolation (RBI) memungkinkan pengguna untuk mengakses konten yang tidak diketahui keamanannya sembari tetap mengisolasi titik akhir dari risiko. Konten yang diminta dimuat ke dalam peramban sementara yang diisolasi di pusat data vendor keamanan web. Pengguna diizinkan untuk melihat dan berinteraksi dengan peramban jarak jauh tersebut tanpa memuat konten situs secara lokal. Hal ini memungkinkan akses ke konten sekaligus mencegah risiko malware pada titik akhir.
Seberapa mudahkah menerapkan SWG?
Tujuan akhirnya adalah penggunaan penerapan cloud native dan bukan solusi on-premise. Namun, seperti yang telah disebutkan sebelumnya, dalam banyak kasus, jalan menuju ke sana bisa jadi tidak mulus dengan pendekatan rip-and-replace, atau bisa juga mulus dengan menghapus peralatan on-premise dengan solusi sinergis yang dioptimalkan untuk memungkinkan transformasi sekaligus meminimalkan gangguan.
Meskipun organisasi memiliki lebih banyak hal yang perlu dipertimbangkan saat menerapkan solusi SWG daripada keamanan DNS, industri ini telah berkembang pesat dalam menyederhanakan pendekatan teknologi ini. Hari-hari untuk menyusun dan menumpuk server di pusat data di seluruh dunia telah berakhir, karena banyak vendor SWG yang melakukan kerja keras untuk Anda. Solusi SWG dihadirkan dengan menggunakan infrastruktur cloud-native yang menawarkan jejak global, dengan kinerja dan keandalan yang menyaingi apa yang mungkin dicapai oleh organisasi terbesar sekalipun. Tim jaringan dan keamanan tidak lagi harus mencari cara untuk melakukan backhaul lalu lintas dari situs yang lebih kecil ke lokasi pusat untuk penyaringan, karena kemampuan VPN situs-ke-situs memungkinkan penggunaan langsung infrastruktur vendor SWG. Demikian juga, pengguna jarak jauh, tidak perlu bergantung pada VPN untuk perlindungan mereka - agen cerdas memastikan lalu lintas mereka terlindungi dengan menggunakan aset lokal atau cloud jika diperlukan.
Teknologi SWG juga telah menyederhanakan kebijakan keamanan web secara dramatis. Tidak ada lagi hari-hari untuk menentukan daftar URL atau rentang IP yang perlu diizinkan atau diblokir. Kebijakan web diberlakukan di tingkat aplikasi cloud, bukan di tingkat domain dan aktivitas, bukan di tingkat URL. Kebijakan out-of-the-box memungkinkan tim keamanan untuk mencapai semua hasil yang diinginkan dalam hitungan menit, tanpa harus puas dengan kontrol yang belum sempurna atau menggunakan konfigurasi yang rumit.
Yang terbaik dari kedua dunia
Terlepas dari persepsi umum, teknologi keamanan SWG dan DNS bukanlah teknologi yang saling bersaing, melainkan solusi yang saling melengkapi. Melihat kedua penawaran ini dari sudut pandang visibilitas, Anda akan menemukan bahwa tumpang tindihnya cukup minimal.
Keamanan DNS bisa digambarkan sebagai lebar satu mil dan dalam satu inci. Keluasan visibilitasnya jelas, karena semua port dan protokol tercakup, tetapi kedalamannya hanya sedikit, karena keamanan DNS hanya bekerja dengan nama domain.
SWG, di sisi lain, memiliki kedalaman satu mil dan lebar satu inci. Umumnya, sejumlah kecil protokol penting didukung, tetapi pemeriksaan sampai ke tingkat terdalam dari lalu lintas web.
CISO dari organisasi ukuran menengah yang baru mulai menangani masalah keamanan mungkin mulai dengan keamanan DNS sebagai "kemenangan cepat" dan kemudian beralih ke solusi SWG untuk mencapai keamanan web yang benar-benar komprehensif.
Menutup celah keamanan web dengan SWG
Keamanan DNS saja bukan merupakan keamanan web yang sebenarnya. Terlalu banyak celah dalam visibilitas, membuat keamanan dan pelaporan tidak memadai. Tidak ada pemindaian malware pada konten yang diunduh atau keamanan data untuk konten yang diunggah. Hanya ada sedikit konteks untuk menjawab pertanyaan tentang apa yang sebenarnya terjadi antara domain ini dan titik akhir Anda.
Di sisi lain, teknologi SWG telah berkembang selama beberapa dekade untuk mencapai tujuan keamanan organisasi terbesar di dunia, terlepas dari kompleksitas dunia yang mengutamakan cloud. SWG menyediakan pemeriksaan mendalam terhadap semua lalu lintas web, bersama dengan teknologi anti-malware dan keamanan data yang kuat untuk memastikan bahwa informasi dan aset titik akhir terlindungi dari berbagai ancaman. Pelaporan dan visibilitas menawarkan detail dan konteks yang kaya ke dalam semua interaksi dengan aplikasi berbasis cloud. Dan yang terbaik dari semuanya, keamanan DNS dan SWG berpasangan untuk menawarkan pendekatan terbaik dari kedua dunia untuk mengamankan organisasi apa pun dari ancaman saat ini.
Pelajari lebih lanjut tentang Skyhigh Security Secure Web Gateway dengan mengklik di sini.
Daftar untuk demo langsung di sini.
Kembali ke Blog