Tanpa Kekuasaan, Muncul Lebih Banyak Tanggung Jawab

Oleh Rodman Ramezanian - Penasihat Keamanan Cloud Perusahaan, Skyhigh Security

19 Mei 2022 6 Menit Baca

Anda mungkin pernah mendengar ungkapan "dengan kekuatan yang besar, datanglah tanggung jawab yang besar." Frasa yang juga disebut "Prinsip Peter Parker" ini menjadi terkenal dalam budaya populer karena komik dan film Spider-Man - di mana Peter Parker menjadi tokoh utamanya. Frasa ini sangat terkenal saat ini sehingga memiliki artikelnya sendiri di Wikipedia. Inti dari frasa ini adalah bahwa jika Anda telah diberdayakan untuk membuat perubahan yang lebih baik, Anda memiliki kewajiban moral untuk melakukannya.

 

Namun, apa yang saya perhatikan ketika saya berbicara dengan pelanggan tentang keamanan cloud, terutama keamanan untuk Infrastructure as a Service (IaaS) adalah sebuah fenomena yang saya sebut sebagai "Prinsip John McClane" - nama ini telah diubah untuk melindungi mereka yang tidak bersalah.

Prinsip John McClane terjadi ketika seseorang diberi tanggung jawab untuk memperbaiki sesuatu, tetapi pada saat yang sama tidak diberdayakan untuk membuat perubahan yang diperlukan. Di permukaan, skenario ini mungkin terdengar tidak masuk akal, namun saya yakin banyak tim InfoSec yang dapat bersimpati dengan masalah ini. Percakapannya seperti ini:

• CEO kepada InfoSec: Anda harus memastikan bahwa kami aman di cloud. Saya tidak ingin menjadi yang berikutnya [masukkan pelanggaran terbaru di sini].
• InfoSec kepada CEO: Ya, jadi saya telah melihat bagaimana kami menggunakan cloud dan sebagian besar masalah kami berasal dari kurangnya proses dan pengetahuan. Kami memiliki banyak sekali tim yang melakukan pekerjaan mereka sendiri di cloud, dan saya tidak memiliki visibilitas penuh atas apa yang mereka lakukan.
• CEO ke InfoSec: Bagus, segera perbaiki.
• InfoSec ke CEO: Masalahnya adalah saya tidak memiliki kuasa atas tim-tim tersebut. Mereka bisa melakukan apa pun yang mereka inginkan. Untuk memperbaiki masalah ini, mereka harus mengubah cara mereka menggunakan cloud. Kami perlu mendapatkan dukungan dari para manajer, namun para manajer tersebut mengatakan kepada saya bahwa mereka tidak tertarik untuk mengubah apa pun karena itu akan memperlambat segalanya.
• CEO ke InfoSec: Saya yakin Anda akan mengetahuinya. Semoga berhasil, dan sebaiknya kita tidak melakukan pelanggaran.

Pada saat itulah "tanpa kekuasaan, tanggung jawab menjadi lebih besar" menjadi kenyataan.

Dan mengapa demikian? Alasannya adalah karena Infrastructure-as-a-Service (IaaS) secara fundamental telah mengubah cara kita menggunakan TI, dan seiring dengan itu, cara kita mengukur keamanan. Kita tidak lagi mengajukan permintaan pembelian dan melalui proses yang panjang untuk menambah sumber daya infrastruktur. Kini siapa pun yang memiliki kartu kredit dapat menjalankan pusat data yang setara dengan pusat data dalam hitungan menit di seluruh dunia.

Akan tetapi, kelincahan ini memperkenalkan beberapa perubahan yang tidak diinginkan pada InfoSec dan untuk meningkatkannya, keamanan cloud tidak bisa menjadi tanggung jawab satu tim saja. Sebaliknya, keamanan cloud harus ditanamkan dalam proses dan bergantung pada kolaborasi antara pengembangan, arsitek, dan operasi. Tim-tim ini sekarang memiliki peran yang lebih signifikan dalam keamanan cloud, dan dalam banyak kasus merupakan satu-satunya yang dapat menerapkan perubahan untuk meningkatkan keamanan. InfoSec sekarang bertindak sebagai Sherpa, bukan sebagai penjaga gerbang untuk memastikan setiap tim berjalan dengan kecepatan yang sama dan aman.

Namun, seperti yang dikatakan oleh John McClane, semakin banyak tim yang Anda miliki untuk menjaga keamanan cloud tidak selalu berarti Anda memiliki solusi yang lebih baik. Faktanya, harus berkoordinasi dengan beberapa tim dengan prioritas berbeda dapat membuat keamanan menjadi lebih kompleks dan memperlambat Anda. Oleh karena itu, diperlukan solusi keamanan yang efisien yang memfasilitasi kolaborasi antara pengembang, arsitek, dan InfoSec, tetapi pada saat yang sama menyediakan pagar pembatas, sehingga tidak ada yang lolos dari celah.

Layanan keamanan cloud kami dibangun khusus untuk pelanggan yang memindahkan dan mengembangkan aplikasi di cloud. Kami menyebutnya Skyhigh Cloud-Native Application Protection Platform - atau hanya Skyhigh CNAPP, karena setiap layanan layak mendapatkan akronim.

Apa yang dimaksud dengan Skyhigh CNAPP? Skyhigh CNAPP menggabungkan solusi dari Cloud Security Posture Management (CSPM), Cloud Workload Protection Platform (CWPP), Data Loss Prevention (DLP), dan Perlindungan Aplikasi ke dalam satu solusi. Kami membangun CNAPP untuk memberikan visibilitas yang luas kepada tim InfoSec ke dalam aplikasi cloud native mereka. Bagi kami, tujuannya bukanlah bagaimana kami memperlambat segala sesuatunya untuk memastikan semuanya aman; melainkan bagaimana kami memungkinkan tim InfoSec mendapatkan visibilitas dan konteks yang mereka butuhkan untuk keamanan cloud sekaligus memungkinkan tim pengembang untuk bergerak cepat.

Izinkan saya menjelaskan secara singkat fitur-fitur apa saja yang dimiliki Skyhigh CNAPP dan membuat daftar beberapa fitur yang menjadi favorit pelanggan.

Manajemen Postur Layanan Cloud (CSPM)

Sebagian besar pelanggaran di IaaS saat ini disebabkan oleh kesalahan konfigurasi layanan. Gartner pada tahun 2016 pernah mengatakan bahwa "95% kegagalan keamanan cloud adalah kesalahan pelanggan." Pada tahun 2019, Gartner memperbarui kutipan tersebut menjadi "99% kegagalan keamanan cloud akan menjadi kesalahan pelanggan." Saya menunggu hari ketika Gartner mengatakan "105% akan menjadi kesalahan pelanggan."

Mengapa persentasenya begitu tinggi? Ada beberapa alasan, tetapi kami banyak mendengar dari para pelanggan kami bahwa ada banyak sekali kekurangan pengetahuan tentang cara mengamankan layanan baru. Setiap penyedia layanan cloud merilis layanan dan kemampuan baru dengan kecepatan yang memusingkan tanpa ada penghalang untuk diadopsi. Sayangnya, industri ini belum bisa mengimbangi kecepatan dalam memiliki tenaga kerja yang mengetahui dan memahami cara terbaik untuk mengonfigurasi layanan dan kemampuan baru ini. Skyhigh CNAPP memberi pelanggan kemampuan untuk segera mengaudit semua layanan cloud dan membandingkan layanan tersebut dengan praktik keamanan terbaik dan standar industri seperti CIS Foundations, PCI, HIPPA, dan NIST.

Dalam audit tersebut (kami menyebutnya insiden keamanan), Skyhigh CNAPP memberikan informasi terperinci tentang cara mengonfigurasi ulang layanan untuk meningkatkan keamanan, tetapi layanan ini juga menyediakan kemampuan untuk menetapkan insiden keamanan kepada tim pengembang dengan perjanjian tingkat layanan (SLA) sehingga tidak ada ambiguitas tentang siapa yang memiliki apa dan apa yang perlu diubah. Semua alur kerja ini dapat diotomatisasi sehingga beberapa tim diberdayakan dalam waktu yang hampir bersamaan untuk menemukan dan memperbaiki masalah.

Selain itu, Skyhigh CNAPP memiliki fitur kebijakan khusus di mana pelanggan dapat membuat kebijakan untuk mengidentifikasi kesalahan konfigurasi berisiko yang unik untuk lingkungan mereka serta integrasi dengan alat pengembang seperti Jenkins, Bitbucket, dan GitHub yang memberikan umpan balik tentang penerapan yang tidak memenuhi standar keamanan.

Platform Perlindungan Beban Kerja Cloud

Platform IaaS telah menjadi katalisator untuk Perangkat Lunak Sumber Terbuka (OSS) seperti Linux (OS), Docker (kontainer), dan Kubernetes (orkestrasi). Tantangan dalam menggunakan alat-alat ini adalah risiko yang diwariskan dari Kerentanan dan Paparan Umum (CVE) yang ditemukan dalam pustaka perangkat lunak dan kesalahan konfigurasi dalam menerapkan layanan baru. Kutipan terkenal lainnya dari Gartner adalah bahwa "70% serangan terhadap kontainer berasal dari kerentanan yang diketahui dan kesalahan konfigurasi yang seharusnya dapat diperbaiki." Namun, bagaimana cara tim InfoSec menemukan kerentanan dan kesalahan konfigurasi tersebut dengan cepat, terutama di lingkungan yang bersifat sementara dengan beberapa tim pengembang yang sering mendorong rilis ke dalam pipeline CI/CD?

Skyhigh CNAPP memberikan perlindungan beban kerja penuh dengan mengidentifikasi semua instance komputasi, kontainer, dan layanan kontainer yang berjalan di IaaS sambil mengidentifikasi CVE kritis, kesalahan konfigurasi di layanan repositori dan kontainer produksi, dan memperkenalkan beberapa fitur perlindungan baru. Fitur-fitur ini termasuk daftar izin aplikasi, pengerasan OS, dan pemantauan integritas file dengan rencana untuk memperkenalkan segmentasi nano dan dukungan on-prem dalam waktu dekat.

Favorit Pelanggan

• Pemindaian DLP in-tenant: banyak pelanggan kami yang memiliki kasus penggunaan yang sah untuk layanan penyimpanan cloud yang terpapar secara publik (terkadang disebut sebagai bucket), tetapi pada saat yang sama perlu memastikan bahwa bucket tersebut tidak memiliki data yang sensitif. Tantangan dalam menggunakan DLP untuk layanan ini adalah banyak solusi yang tersedia di pasar menyalin data ke dalam lingkungan vendor. Hal ini meningkatkan biaya pelanggan dengan biaya keluar dan juga memperkenalkan tantangan keamanan dengan transit data. CNAPP memungkinkan pelanggan untuk melakukan pemindaian DLP in-tenant di mana data tidak pernah meninggalkan lingkungan IaaS, membuat prosesnya lebih aman dan lebih murah.
• Kerangka Kerja MITRE ATT&CK untuk Cloud: bahasa Pusat Operasi Keamanan (SOC) adalah MITRE, tetapi ada banyak nuansa tentang bagaimana insiden keamanan cloud sesuai dengan kerangka kerja ini. Dengan Skyhigh CNAPP, kami membangun proses end-to-end yang memetakan semua insiden keamanan CSPM dan CWPP ke MITRE. Sekarang tim InfoSec dan pengembang dapat bekerja sama secara lebih efektif dengan secara otomatis mengkategorikan setiap insiden cloud ke MITRE, memfasilitasi respons yang lebih cepat dan kolaborasi yang lebih baik.
• Keamanan Aplikasi Terpadu: CNAPP dibangun di atas platform yang sama dengan layanan MVISION Cloud kami, Pemimpin Magic Quadrant Gartner untuk Cloud Access Security Broker (CASB). Pelanggan sekarang bisa mendapatkan visibilitas terperinci dan kontrol keamanan atas aplikasi SaaS mereka bersama dengan aplikasi yang mereka bangun di IaaS dengan solusi yang sama. Pelanggan kami senang memiliki satu konsol yang memberikan gambaran menyeluruh tentang risiko aplikasi di seluruh tim - SaaS untuk konsumen dan IaaS untuk pembangun.

Masih banyak lagi fitur yang ingin saya soroti, tetapi saya mengundang Anda untuk melihat sendiri solusinya. Kunjungi https://www.skyhighsecurity.com/products/cloud-native-application-protection-platform.html untuk informasi lebih lanjut tentang rilis kami atau minta demo di https://www.skyhighsecurity.com/forms/demo-request-form.html. Kami ingin sekali mendapatkan umpan balik dari Anda dan mendengar bagaimana Skyhigh CNAPP dapat membantu Anda menjadi lebih berdaya dan bertanggung jawab di cloud.

Kembali ke Blog