Video: Digital Inside: Keamanan Cloud Computing # 1 (Oktober 2024)
Tahun yang akan datang menjanjikan pertumbuhan substansial bagi penyedia layanan cloud publik dan vendor solusi Perangkat Lunak sebagai Layanan (SaaS). Untuk satu, teknologi tingkat dasar baru seperti penyebaran layanan mikro dan blockchain, antara lain, memberikan jalan yang belum dimanfaatkan untuk inovasi. Tetapi mungkin yang lebih penting, salah satu penghambat adopsi cloud yang paling sering dikutip CIO (yaitu, keamanan dan keselamatan data) tampaknya pada akhirnya bergerak ke latar belakang, terutama untuk perusahaan dan bisnis menengah.
Sementara analis sepakat bahwa sebagian besar bisnis saat ini - termasuk perusahaan dan segmen menengah - memiliki beberapa penyebaran cloud ke berbagai tingkat, mereka juga setuju bahwa organisasi yang lebih besar lambat untuk memindahkan beban kerja utama ke cloud, dengan alasan utama diberikan karena keamanan cloud dan data keamanan. Itu penting bagi para pelanggan ini bukan hanya karena volume data yang sangat besar yang akan dimigrasi organisasi ini, tetapi juga karena melewati kepatuhan yang ketat dan pemeriksaan peraturan, seperti Asuransi Kesehatan Portabilitas dan Akuntabilitas (HIPAA) dan ISO 27001, sangat penting bagi mereka untuk melakukan bisnis. Keamanan menjadi perhatian utama bagi CIO ini dan, sampai saat ini, itu tidak cukup kuat bagi mereka untuk mengadopsi cloud secara besar-besaran.
Tapi, menurut prediksi analis untuk 2017, itu semua akan berubah. Keamanan cloud telah berjalan sangat jauh dalam setengah dekade terakhir dan tampaknya banyak profesional dan CIO TI setuju. Ini berarti analis memperkirakan bahwa kita akan melihat lebih banyak infrastruktur cloud dan layanan dari sektor enterprise pada 2017.
Saya melakukan wawancara email dengan Brian Kelly, Chief Security Officer di penyedia cloud yang dikelola terkenal Rackspace, untuk mencari tahu apa yang berubah tentang keamanan cloud di tahun mendatang - dan untuk melihat apakah dia setuju dengan prediksi para analis ini.
PCMag: Tepatnya bagaimana Rackspace memandang perannya dibandingkan dengan staf TI pelanggannya dalam hal keselamatan dan keamanan data?
Brian Kelly (BK): Kami melihat bukti langsung bahwa pelanggan datang ke cloud karena alasan keamanan daripada melarikan diri darinya. Dengan sedikit pengecualian, perusahaan tidak memiliki sumber daya dan keterampilan untuk secara efektif mempertahankan organisasi mereka dari ancaman yang lebih canggih dan terus-menerus. Demikian pula, penyedia cloud menyadari bahwa masa depan bisnis kita tergantung pada memberikan kepercayaan dan kepercayaan diri melalui praktik keamanan yang efektif. Meskipun investasi cloud meningkat dalam keamanan, melindungi aset organisasi akan selalu tetap menjadi tanggung jawab bersama. Sementara penyedia cloud bertanggung jawab langsung untuk perlindungan fasilitas, pusat data, jaringan, dan infrastruktur virtual, konsumen juga memiliki tanggung jawab untuk melindungi sistem operasi, aplikasi, data, akses, dan kredensial.
Forrester menciptakan istilah "jabat tangan yang tidak rata" sehubungan dengan tanggung jawab bersama ini. Dalam beberapa hal, konsumen percaya mereka memikul beban untuk keamanan data mereka. Ini mungkin benar beberapa tahun yang lalu; namun, kami menyaksikan keseimbangan jabat tangan. Artinya, penyedia cloud dapat dan harus berbuat lebih banyak bagi konsumen untuk berbagi tanggung jawab atas keamanan. Ini dapat berupa hanya dengan memberikan visibilitas dan transparansi yang lebih besar ke dalam beban kerja yang dihosting, menyediakan akses ke pesawat kendali atau menawarkan layanan keamanan yang dikelola. Sementara tanggung jawab keamanan konsumen tidak akan pernah hilang, penyedia cloud akan terus mengambil lebih banyak tanggung jawab dan memberikan penawaran keamanan terkelola bernilai tambah untuk membangun kepercayaan yang diperlukan bagi kedua belah pihak untuk beroperasi dengan aman di cloud.
PCMag: Apakah Anda memiliki saran untuk para profesional TI dan pelanggan bisnis tentang apa yang dapat mereka lakukan selain apa yang diberikan penyedia untuk membantu melindungi data berbasis cloud mereka sendiri?
BK: Mereka harus terus menerapkan praktik terbaik keamanan dalam kantong mereka. Mereka perlu mengelompokkan beban kerja dalam kantong secara bertanggung jawab untuk membatasi ruang lingkup kompromi, memastikan lingkungan beban kerja (sistem operasi, wadah, LAN virtual) diamankan dan ditambal dengan benar, memanfaatkan teknologi pengindraan dan respons tingkat akhir jaringan dan tingkat respons (IDS / IPS, deteksi dan pengendalian malware), dan secara aktif mengelola akun dan akses. Seringkali, pelanggan dapat memasukkan layanan dan teknologi ini dalam kontrak penggunaan cloud mereka, tetapi jika tidak, konsumen harus memastikan bahwa itu terjadi di pihak mereka.
PCMag: Satu pertanyaan kunci yang telah kita lihat yang ditanyakan pembaca adalah tentang pertahanan efektif terhadap serangan Internet of Things (IoT) besar-besaran yang didistribusikan oleh serangan penolakan layanan (DDoS), mirip dengan insiden Oktober lalu di mana vendor IoT Tiongkok secara tidak sengaja berkontribusi besar pada serangan itu. Apakah serangan seperti itu bekerja dengan Penyedia Layanan Internet (ISP) hulu? Dan bagaimana mereka mencegah satu klien dari menjatuhkan semua orang di fasilitas?
BK: Tujuan utama pertahanan DDoS adalah menjaga ketersediaan saat diserang. Kemampuan serangan DDoS dari IoT sudah terkenal dan dapat berhasil dimitigasi dengan menerapkan praktik terbaik keamanan dan dengan menggunakan sistem mitigasi DDoS yang cerdas. Ancaman terbesar bukanlah metode serangan dari IoT tetapi sejumlah besar perangkat yang memungkinkan internet rentan. Jaringan perlu dikunci untuk membatasi paparan ancaman di internet. Operator jaringan harus proaktif dalam mendeteksi semua kemungkinan ancaman dan mengetahui teknik yang paling efektif untuk memitigasi mereka, sambil mempertahankan kemampuan untuk menganalisis dan mengklasifikasikan semua lalu lintas jaringan.
Strategi mitigasi DDoS yang kuat membutuhkan pendekatan berlapis dan defensif. Banyaknya jumlah perangkat IoT membuat mitigasi serangan IoT sulit untuk jaringan skala kecil. Efektivitas serangan IoT adalah fleksibilitasnya untuk menghasilkan vektor serangan yang berbeda dan menghasilkan lalu lintas DDoS volume tinggi yang besar. Bahkan jaringan yang paling keras dapat dengan cepat kewalahan oleh volume lalu lintas yang sangat besar yang dapat dihasilkan IoT di tangan penyerang yang cakap. ISP Hulu seringkali lebih siap dan memiliki staf untuk menghadapi serangan skala besar ini yang akan dengan cepat menjenuhkan tautan jaringan kecil. Selain itu, skala operasi jaringan dan alat yang diperlukan untuk mengurangi serangan semacam itu membuat deteksi dan respon yang efektif jauh dari jangkauan sebagian besar organisasi. Solusi yang lebih baik adalah melakukan outsourcing operasi seperti itu ke ISP hulu penyedia cloud yang sudah bekerja dengan skala jaringan ini.
ISP Hulu memiliki banyak keunggulan melalui keanekaragaman titik akses internet yang kuat di mana mereka dapat mengalihkan lalu lintas. Mereka juga umumnya memiliki pipa data yang cukup besar untuk menyerap banyak lalu lintas DDoS pada awalnya sementara kegiatan respons dari lalu lintas perutean kembali. "Hulu" adalah istilah yang baik karena agak analog dengan serangkaian bendungan di sepanjang sungai. Selama banjir, Anda dapat melindungi rumah-rumah di hilir dengan menggunakan setiap bendungan untuk menangkap lebih banyak air secara progresif di setiap danau yang dibuat oleh bendungan dan mengukur aliran untuk mencegah banjir di hilir. Bandwidth dan keanekaragaman titik akses untuk ISP hulu menyediakan jenis ketahanan yang sama. Mereka juga memiliki protokol yang dinegosiasikan di komunitas internet untuk menyempitkan lalu lintas DDoS di dekat sumber yang dapat mereka aktifkan.
Seperti halnya kegiatan respons insiden lainnya, perencanaan, persiapan, dan praktik sangat penting. Tidak ada dua serangan yang persis sama, oleh karena itu, mengantisipasi pilihan dan keadaan kemudian merencanakan dan berlatih untuk mereka sangat penting. Untuk skenario serangan IoT, itu termasuk memindai jaringan Anda untuk perangkat yang rentan dan mengambil tindakan korektif. Anda juga harus memastikan untuk mencegah pemindaian dari luar jaringan Anda untuk perangkat IOT yang rentan. Untuk membantu, menerapkan kontrol akses yang ketat dan pengerasan sistem operasi, dan mengembangkan prosedur untuk menambal versi kode yang berbeda, perangkat jaringan, dan aplikasi.
Klik gambar untuk infografis lengkap. Kredit gambar: Twistlock
PCMag: Pertanyaan lain yang diajukan pembaca adalah tentang keamanan wadah. Apakah Anda khawatir tentang wadah senjata yang dapat berisi sistem serangan yang kompleks atau apakah menurut Anda arsitektur melindungi terhadap eksploitasi seperti itu?
BK: Keamanan dengan teknologi yang baru saja ditekankan selalu menjadi perhatian utama - wadah tidak unik dalam aspek ini. Tetapi, seperti halnya banyak tantangan keamanan, ada pertukaran. Meskipun mungkin ada peningkatan risiko, kami juga percaya ada strategi mitigasi yang efektif untuk risiko yang dapat kami kontrol.
Wadah, pada dasarnya, adalah lingkungan sistem operasi tervirtualisasi yang sangat sementara dan ringan. Apakah mesin virtual kurang aman daripada server fisik yang terpisah? Mereka, dalam banyak kasus. Namun, banyak bisnis melihat manfaat biaya dari virtualisasi (lebih sedikit pengeluaran, lebih mudah dikelola, dapat menggunakan mesin dengan mudah) dan mereka memilih untuk memanfaatkannya sambil memitigasi sebanyak mungkin risiko. Intel bahkan menyadari bahwa mereka dapat membantu mengurangi beberapa risiko sendiri dan dari situlah Intel VT berasal.
Kontainer mengambil penghematan biaya awal dan fleksibilitas virtualisasi lebih lanjut. mereka juga lebih berisiko karena ada dinding yang sangat tipis antara setiap wadah dan sistem operasi host. Saya tidak mengetahui adanya dukungan perangkat keras untuk isolasi sehingga terserah kernel untuk menjaga semua orang sejalan. Perusahaan harus mempertimbangkan manfaat biaya dan fleksibilitas dari teknologi baru ini bersama dengan risiko-risiko ini.
Para pakar Linux khawatir karena setiap wadah berbagi kernel host, yang membuat area permukaan untuk eksploitasi jauh lebih besar daripada teknologi virtualisasi tradisional, seperti KVM dan Xen. Jadi, ada potensi untuk serangan baru di mana penyerang meretas hak istimewa dalam satu wadah untuk mengakses - atau memengaruhi kondisi di dalam - wadah lain.
Kami belum memiliki banyak sensor keamanan khusus wadah. Menurut saya, area pasar itu harus matang. Selain itu, kontainer tidak dapat menggunakan fitur keamanan yang tertanam dalam CPU (seperti Intel VT) yang memungkinkan kode untuk dieksekusi dalam dering berbeda tergantung pada tingkat privilege-nya.
Pada akhirnya, ada banyak eksploitasi untuk server fisik, mesin virtual, dan kontainer. Yang baru selalu muncul. Bahkan mesin berpenutup udara dieksploitasi. Profesional TI harus khawatir dengan kompromi keamanan di semua level ini. Sebagian besar pertahanan adalah sama untuk semua jenis penyebaran ini tetapi masing-masing memiliki pertahanan keamanan ekstra sendiri yang harus diterapkan.
Penyedia hosting harus menggunakan Modul Keamanan Linux (seperti SELinux atau AppArmor) untuk mengisolasi kontainer dan sistem itu harus dimonitor secara ketat. Penting juga untuk tetap memperbarui kernel host untuk menghindari eksploitasi eskalasi hak istimewa lokal. Isolasi unik ID (UID) juga membantu karena mencegah pengguna root dalam wadah untuk benar-benar menjadi root pada host.
PCMag: Salah satu alasan PCMag.com tidak menjalankan perbandingan besar-besaran dari Managed Security Service Providers (MSSPs) adalah karena ada kebingungan dalam industri tentang apa arti istilah itu dan apa yang dapat dan harus diberikan oleh kelas penyedia itu. Bisakah Anda memecah layanan keamanan yang dikelola Rackspace? Apa fungsinya, bagaimana bedanya dengan penyedia lain, dan ke mana Anda melihatnya sehingga pembaca bisa mendapatkan ide bagus tentang apa yang mereka daftarkan ketika mereka menggunakan layanan seperti itu?
BK: MSSP harus menerima bahwa keamanan belum berfungsi dan menyesuaikan strategi dan operasi mereka agar lebih efektif dalam lanskap ancaman saat ini - yang mengandung musuh yang lebih canggih dan gigih. Di Rackspace, kami mengakui perubahan ancaman ini dan mengembangkan kemampuan baru yang diperlukan untuk memitigasi mereka. Rackspace Managed Security adalah operasi Deteksi dan Menanggapi canggih 24/7/365. Ini dirancang tidak hanya untuk melindungi perusahaan dari serangan tetapi untuk meminimalkan dampak bisnis ketika serangan terjadi, bahkan setelah lingkungan berhasil diretas.
Untuk mencapai ini, kami menyesuaikan strategi kami dalam tiga cara:
Kami fokus pada data, bukan pada perimeter. Untuk merespons serangan secara efektif, tujuannya adalah meminimalkan dampak bisnis. Ini membutuhkan pemahaman yang komprehensif tentang bisnis perusahaan dan konteks data dan sistem yang kami lindungi. Hanya dengan begitu kita dapat memahami seperti apa bentuk normal, memahami serangan, dan merespons dengan cara yang meminimalkan dampak pada bisnis.
Kami menganggap penyerang telah masuk ke jaringan dan menggunakan analis yang sangat terampil untuk memburu mereka. Begitu berada di jaringan, serangan merupakan alat yang sulit untuk diidentifikasi karena, untuk alat keamanan, penyerang tingkat lanjut tampak seperti administrator yang menjalankan fungsi bisnis normal. Analis kami secara aktif mencari pola aktivitas yang tidak dapat diperingatkan oleh alat - pola ini adalah jejak kaki yang membawa kita kepada penyerang.
Mengetahui Anda sedang diserang tidak cukup. Sangat penting untuk merespons serangan ketika itu terjadi. Pusat Operasi Keamanan Pelanggan kami menggunakan portofolio "tindakan yang disetujui sebelumnya" untuk menanggapi serangan segera setelah mereka melihatnya. Ini pada dasarnya adalah buku yang telah kami coba dan uji untuk berhasil menghadapi serangan ketika itu terjadi. Pelanggan kami melihat buku-buku berjalan ini dan menyetujui analis kami untuk mengeksekusi mereka selama proses orientasi. Akibatnya, analis tidak lagi menjadi pengamat pasif - mereka dapat secara aktif mematikan penyerang begitu terdeteksi, dan seringkali sebelum kegigihan tercapai dan sebelum bisnis terpengaruh. Kemampuan untuk merespons serangan ini unik bagi Rackspace karena kami juga mengelola infrastruktur yang kami lindungi bagi pelanggan kami.
Selain itu, kami menemukan bahwa kepatuhan adalah produk sampingan dari keamanan yang dilakukan dengan baik. Kami memiliki tim yang memanfaatkan ketelitian dan praktik terbaik yang kami terapkan sebagai bagian dari operasi keamanan, dengan membuktikan dan melaporkan persyaratan kepatuhan yang kami bantu pelanggan kami penuhi.
PCMag: Rackspace adalah pendukung besar, memang pendiri OpenStack. Beberapa pembaca IT kami telah bertanya apakah pengembangan keamanan untuk platform terbuka seperti itu sebenarnya lebih lambat dan kurang efektif dibandingkan dengan sistem tertutup seperti Amazon Web Services (AWS) atau Microsoft Azure karena dilema "terlalu banyak koki" dilema yang mengganggu banyak proyek sumber terbuka besar. Bagaimana Anda menanggapinya?
BK: Dengan perangkat lunak sumber terbuka, "bug" ditemukan di komunitas terbuka dan diperbaiki di komunitas terbuka. Tidak ada cara untuk menyembunyikan jangkauan atau dampak dari masalah keamanan. Dengan perangkat lunak berpemilik, Anda berada di tangan penyedia perangkat lunak untuk memperbaiki kerentanan. Bagaimana jika mereka tidak melakukan apa pun tentang kerentanan selama enam bulan? Bagaimana jika mereka melewatkan laporan dari seorang peneliti? Kami melihat semua "koki yang terlalu banyak" yang Anda sebut sebagai pemungkin keamanan perangkat lunak yang sangat besar. Ratusan insinyur pintar sering melihat setiap bagian dari paket open-source utama seperti OpenStack, yang membuatnya sangat sulit bagi kekurangan untuk masuk melalui celah. Diskusi tentang cacat dan evaluasi opsi untuk memperbaikinya terjadi di tempat terbuka. Paket perangkat lunak pribadi tidak akan pernah dapat menerima analisis per-kode-tingkat semacam ini dan perbaikannya tidak akan pernah mendapatkan pemeriksaan terbuka semacam itu.
Perangkat lunak sumber terbuka juga memungkinkan untuk mitigasi di luar tumpukan perangkat lunak. Misalnya, jika masalah keamanan OpenStack muncul tetapi penyedia cloud tidak dapat segera memutakhirkan atau menambal kerentanan, perubahan lain dapat dilakukan. Fungsi ini dapat dinonaktifkan sementara atau pengguna dapat dicegah menggunakannya melalui file kebijakan. Serangan itu dapat dikurangi secara efektif sampai perbaikan jangka panjang diterapkan. Perangkat lunak sumber tertutup sering tidak memungkinkan untuk itu karena sulit untuk melihat apa yang perlu dikurangi.
Juga, komunitas open-source menyebarkan pengetahuan tentang kerentanan keamanan ini dengan cepat. Pertanyaan "Bagaimana kita mencegah hal ini terjadi nanti?" ditanyakan dengan cepat, dan musyawarah dilakukan secara kolaboratif dan terbuka.
PCMag: Mari kita akhiri dengan pertanyaan awal untuk wawancara ini: Apakah Anda setuju dengan analis bahwa 2017 akan menjadi tahun "penembusan" dalam hal adopsi cloud perusahaan, terutama atau setidaknya sebagian karena penerimaan perusahaan terhadap keamanan penyedia cloud?
BK: Mari kita mundur sejenak untuk membahas berbagai lingkungan cloud. Sebagian besar pertanyaan Anda mengarah ke pasar cloud publik. Seperti yang saya sebutkan di atas, para peneliti Forrester telah mencatat "jabat tangan yang tidak merata" antara penyedia cloud dan konsumen dalam hal penyedia cloud menyediakan serangkaian layanan, tetapi konsumen cloud sering menganggap mereka menerima lebih banyak dalam hal keamanan, cadangan, ketahanan, dll. Saya telah menganjurkan sejak bergabung dengan Rackspace bahwa penyedia cloud harus meratakan jabat tangan itu dengan menjadi lebih transparan dengan konsumen kami. Tidak ada tempat jabat tangan yang lebih sedikit, bahkan hari ini, daripada di lingkungan cloud publik.
Namun demikian, lingkungan cloud pribadi, dan terutama yang diterapkan di lingkungan konsumen, tidak terlalu menderita dari ilusi semacam itu. Konsumen jauh lebih jelas tentang apa yang mereka beli dan apa yang diberikan penyedia. Namun, karena konsumen telah meningkatkan harapan dalam proses pembelian dan penyedia cloud telah meningkatkan permainan kami untuk memberikan layanan dan transparansi yang lebih lengkap, hambatan emosional dan risiko terkait dengan memindahkan beban kerja dari pusat data tradisional ke lingkungan cloud publik menurun dengan cepat.
Tetapi saya tidak berpikir ini akan membuat penyerbuan ke arah awan pada tahun 2017. Memindahkan beban kerja dan seluruh pusat data memerlukan perencanaan dan perubahan organisasi yang signifikan. Ini jauh berbeda dari peningkatan perangkat keras di pusat data. Saya mendorong pembaca Anda untuk mempelajari transisi Netflix; mereka mengubah bisnis mereka dengan pindah ke cloud tetapi butuh tujuh tahun kerja keras. Pertama, mereka memfaktorkan ulang dan menulis ulang sebagian besar aplikasi mereka untuk membuatnya lebih efisien dan lebih baik diadaptasi ke cloud.
Kami juga melihat banyak konsumen mengadopsi cloud pribadi di pusat data mereka menggunakan arsitektur cloud hybrid sebagai titik awal mereka. Ini tampaknya mempercepat. Saya percaya kurva adopsi dapat melihat siku naik pada 2017 tetapi akan membutuhkan beberapa tahun untuk membengkak benar-benar membangun.
