30 November 2023
Oleh Claire Hatcher - Direktur Penjualan Regional, Inggris, Skyhigh Security
Tanggung jawab bersama adalah konsep yang kita semua pahami secara intuitif, namun tidak sepenuhnya dipahami oleh banyak organisasi dalam hal pengamanan cloud. Entah kerangka kerja yang menjelaskannya masih relatif baru atau ekspektasi yang belum cukup jelas. Sayangnya, banyak organisasi yang melewatkan kesempatan karena tidak sepenuhnya memahami peran dan tanggung jawab mereka sendiri, dan hasil akhirnya adalah kesenjangan dan pelanggaran keamanan.
Mengingat bahwa 90% profesional TI pernah mengalami pelanggaran keamanan siber, komputasi awan - seperti halnya semua teknologi - tidaklah mudah. Meskipun penyedia layanan cloud (CSP) memang menyediakan beberapa alat dan layanan keamanan tingkat lanjut, jelas ada beberapa kesalahpahaman di pihak pelanggan tentang apa yang sebenarnya dilindungi oleh CSP. Mungkin sebuah analogi dapat membantu memperjelas siapa yang melakukan apa dan menghilangkan beberapa mitos dan kebingungan.
Bagaimana kerangka kerja mental yang tepat dapat mencegah bencana
Mari kita lihat menyewa properti liburan dari pasar online. Pasar online menyediakan infrastruktur dasar untuk memfasilitasi transaksi. Anda terhubung dengan pemilik properti melalui platform. Pasar online bertanggung jawab untuk menyediakan platform yang aman untuk melakukan transaksi ini. Pemilik bertanggung jawab atas properti itu sendiri. Misalnya, mereka diharapkan memasang kunci di pintu dan jendela sewa-dan Anda bertanggung jawab untuk menggunakan kunci tersebut. Anda tidak bisa mengharapkan pasar online bertanggung jawab untuk memastikan Anda tidak dirampok saat menginap di sebuah properti, terutama jika Anda tidak menggunakan mekanisme yang disediakan-kunci dalam hal ini-untuk mengamankan properti dan barang-barang Anda.
Analogi lainnya adalah membeli atau menyewa peralatan dari toko perkakas. Vendor mungkin memiliki tanggung jawab jika alat tersebut rusak atau gagal berfungsi, tetapi Anda tetap harus mengenakan pelindung mata, memastikan lingkungan kerja yang aman, dan menggunakan alat tersebut secara bertanggung jawab.
Organisasi perlu memahami bahwa tidak ada perbedaan bagi mereka terkait platform layanan cloud yang mereka gunakan. CSP tidak bertanggung jawab atas setiap pelanggaran keamanan. Pelanggan memiliki peran penting dan berbagi tanggung jawab untuk mengamankan lingkungan cloud publik mereka.
Memasuki model tanggung jawab bersama
CSP telah mendefinisikan dengan jelas tanggung jawab mereka dalam hal keamanan. Amazon Web Services (AWS) dan Microsoft Azure telah menerbitkan Model Tanggung Jawab Bersama Keamanan Cloud untuk menjelaskan siapa yang bertanggung jawab atas apa. Meskipun detailnya tergantung pada apakah modelnya adalah perangkat lunak-sebagai-layanan (SaaS), infrastruktur-sebagai-layanan (IaaS), atau platform-sebagai-layanan (PaaS), secara umum pelanggan perusahaan bertanggung jawab atas aspek-aspek keamanan awan ini:
- Keamanan titik akhir
- Keamanan jaringan
- Konfigurasi
- Manajemen Identitas dan Akses (IAM)
- Klasifikasi dan akuntabilitas data
- Kontrol kolaborasi data
- Mesin virtual
- Keamanan beban kerja dan kontainer
Penyedia layanan cloud, di sisi lain, bertanggung jawab untuk:
- Keamanan fisik dan pemeliharaan fasilitas mereka sendiri, termasuk listrik dan konektivitas internet
- Infrastruktur host komputasi, termasuk server, sistem operasi, penambalan, penyeimbangan beban, penskalaan, penyimpanan, dan konfigurasi layanan platform
- Kontrol jaringan dan layanan penyedia
Kembali ke analogi kita dengan kunci pintu dan jendela di tempat penyewaan liburan, CSP memiliki berbagai pertahanan keamanan yang terpasang pada layanan mereka, tetapi terserah pada pelanggan untuk mengimplementasikannya guna melindungi jaringan, pengguna, data penting, dan aplikasi mereka sendiri.
Untuk memahami sepenuhnya peran dan tanggung jawab Anda sebagai pelanggan layanan cloud apa pun, penting untuk meninjau perjanjian tingkat layanan (SLA) dengan cermat. Jangan membuat asumsi apa pun. SLA akan menjelaskan dengan tepat aspek keamanan apa yang menjadi tanggung jawab Anda dan fitur serta kebijakan apa yang perlu Anda konfigurasikan dengan benar di awal untuk mendapatkan manfaat penuh dari platform. Dalam dunia multi-cloud yang kompleks, hal ini dapat menjadi tantangan dari sudut pandang administratif, tetapi menangani tanggung jawab Anda di awal untuk memastikan data Anda di cloud aman sepenuhnya sepadan dengan waktu dan upaya yang diperlukan.
Keamanan cloud adalah olahraga tim, dan setiap orang harus membawa bola saat tiba gilirannya. Model tanggung jawab bersama menyediakan kerangka kerja untuk membantu Anda memahami aturan mainnya.
Untuk mengetahui bagaimana Skyhigh Security dapat membantu Anda memenuhi tanggung jawab Anda dan mengamankan data Anda di platform cloud publik, kunjungi situs web kami.
Kembali ke Blog