Bisnis yang menggunakan aplikasi berbasis cloud dan layanan sering mengabaikan langkah-langkah keamanan penting saat mereka berebut untuk mengikuti teknologi terbaru, dan kesibukan membuat mereka berisiko.
“Ada banyak pelanggan yang memiliki mandat awan pertama ini,” kata JK Lialias, direktur senior akses awan di Forcepoint. “Mereka diberi tahu, ‘Anda akan pindah ke cloud sebanyak mungkin infrastruktur.'”
Banyak tekanan ada pada karyawan line-of-business untuk mengadopsi aplikasi dan infrastruktur cloud, lanjutnya. Departemen TI sangat penting dalam memberikan layanan ini dan sering kali mengabaikan untuk memahami bagaimana data dan proses lokal diterjemahkan ke dalam cloud.
“Apa yang terjadi saat pindah ke awan telah terjadi di industri teknologi sejak awal,” kata Michael Landewe, pendiri dan VP pengembangan usaha Avanan. “Orang pindah ke teknologi baru berdasarkan fitur dan kemampuan baru. Keamanan selalu mengikuti.”
Kesenjangan antara bergerak ke cloud dan menerapkan keamanan yang kuat telah menyusut saat teknologi baru mempercepat proses, dia menjelaskan. Namun, kebanyakan perusahaan masih pengikut dan tidak mengambil semua langkah yang diperlukan, mengorbankan keamanan dalam prosesnya.
Jangan Asumsikan Anda Aman
Ada banyak asumsi ketika menyangkut tanggung jawab atas awan. “Beberapa bisnis menganggap keseluruhan masalah keamanan adalah sesuatu yang Anda masukkan ke dalam dunia penyedia,” kata Jim Reavis, CEO Cloud Security Alliance. “Penyedia cloud mungkin memiliki layanan dan kemampuan keamanan, yang dapat Anda pesan sebagai tambahan, namun banyak tanggung jawab beralih ke cloud.”
Penyedia awan biasanya memiliki perangkat keras, jaringan, operator host, dan mesin virtual, kata Dan Hubbard, arsitek keamanan senior di Lacework. Pelanggan memiliki segalanya di atas itu: sistem operasi, kontainer, aplikasi, dan semua kontrol akses terkait.
“Di sinilah keadaan menjadi sedikit berlumpur dari perspektif perusahaan,” ia menjelaskan. Sebagian besar perusahaan memiliki parameter di pusat data tradisional, dan prinsip dan aturan inti mereka tidak berlaku di cloud publik.
Landewe menunjuk ke model tanggung jawab bersama, yang mengingatkan perusahaan bahwa mereka harus mengamankan data yang mereka pindahkan ke cloud. Banyak bisnis, terutama yang memiliki departemen TI kecil, bertanggung jawab atas akses data dan keamanan ke penyedia cloud. Kesepakatan tingkat layanan dari kebanyakan vendor menjelaskan di mana pelanggan bertanggung jawab atas datanya.
“Anda harus melakukan percakapan yang jujur dengan vendor dan bertanya, ‘dari mana tanggung jawab keamanan Anda berakhir dan dari mana saya memulai?'” Dia menjelaskan. Pemilik data masih harus sepenuhnya bertanggung jawab atas informasi tersebut.
Melompati Langkah dan Konsekuensi Berbahaya
“Ini adalah salah satu dari hal-hal di mana kecepatan terkadang menghalangi pemahaman dan pendidikan secara keseluruhan,” kata Lialias tentang transisi ke cloud. “Ini adalah salah satu area yang perlu diimbangi.”
Hubbard menempatkan perusahaan ke dalam dua kategori: cloud native, yang didirikan di cloud dan tidak perlu bermigrasi, dan bisnis yang lebih besar dengan pusat data tradisional. Kelompok yang terakhir sedang menavigasi transisi ke awan publik dan mengabaikan langkah-langkah penting dalam prosesnya.
Konfigurasi akun yang tepat adalah kunci di sini. Serangkaian kebocoran Amazon Web Services (AWS) tahun lalu yang mempengaruhi organisasi besar, dari Viacom hingga Komite Nasional Republik, mendemonstrasikan pengawasan yang luas terhadap langkah-langkah konfigurasi dasar cloud. Ini adalah langkah salah yang mudah dan berbahaya.
“Dari apa yang telah kita lihat dan apa yang kita ketahui tentang ini, mereka semua mengalami masalah berbasis klien; kesalahan yang telah mereka buat,” kata Reavis. AWS memiliki keamanan yang kuat namun kebanyakan orang tidak tahu untuk benar mengkonfigurasi akses mereka sehingga data diamankan. Jika mereka membuat kesalahan konfigurasi di AWS ini, kemungkinan mereka akan membuatnya di layanan lain, tambahnya.
Kredensial awan juga harus diamankan, Hubbard menekankan. Penyerang sering mencuri data login untuk platform seperti AWS dan Azure, dan menyalahgunakan kekuatan awan atas nama pelanggan untuk menambang kripto gawat, mengirim spam, dan mendistribusikan serangan denial-of-service terdistribusi.
“Jika seseorang mendapat akses terhadap mereka, mereka bisa meniru Anda di bagian cloud Anda,” katanya. “Anda perlu mengatur akses ke mesin … yang masuk ke mesin, dari mana, dan apa yang mereka lakukan saat mereka masuk.”
Admin harus menggunakan otentikasi dua faktor dan akses kunci sehingga akun administratif hanya dapat masuk dari alamat IP tertentu. Admin yang tidak berpendidikan dapat melakukan banyak kerusakan dengan sangat cepat, kata Reavis, yang mengatakan bahwa serangan phishing dan credential akan umum terjadi di masa depan. Harus ada pemeriksaan lebih cermat tentang bagaimana akun admin dikeraskan.
“Begitu seseorang memiliki akses ke akun Anda, mereka melakukan segalanya dengan kekuatan mereka untuk mempertahankan kontrol itu,” kata Landewe. Administrator bukan satu-satunya yang berisiko, dia mencatat. Banyak penyerang menargetkan karyawan tingkat rendah dan, begitu mereka masuk, gunakan akses tersebut untuk menargetkan pekerja tingkat tinggi.
Lakukan due diligence anda
Perusahaan rata-rata memiliki sekitar 1.000 aplikasi perangkat lunak sebagai layanan yang digunakan, kata Lialias. Mereka mungkin tahu sekitar 600 dari mereka, dan mungkin ada 30 yang berpotensi berisiko tinggi. Bisnis tahu bahwa mereka memerlukan aplikasi yang disetujui dan tidak disetujui. Terserah mereka untuk memahami apa yang ada di luar sana dan menganggap kontrol atas perangkat lunak yang digunakan karyawan.
“Kunci untuk pindah ke cloud adalah melakukan penyelidikan penilaian kinerja,” jelasnya. “Mereka menggesek kartu dan mengklik sebuah tombol, dan mereka lupa due diligence mereka.”
Sementara kesalahan dapat dan akan terjadi, bisnis dapat tetap selangkah lebih maju dengan memastikan bahwa akun dikonfigurasi dengan benar, kredensial terjamin, dan mereka memiliki visibilitas terhadap aplikasi yang digunakan dan orang-orang yang menggunakannya. Mampu melihat dan mengendalikan data sangat penting.
Para ahli “berharap” melihat perlambatan dalam insiden seperti kebocoran ember AWS dan melihat perusahaan sangat hati-hati dengan kecepatan. Namun, banyak yang membutuhkan wake-up call sebelum mengadopsi praktik terbaik.
“Kami akan melihat lebih banyak hal yang sama dalam organisasi yang perlu membuat kesalahan untuk mengetahui bahwa mereka perlu menganggapnya serius,” kata Reavis. Dia menyarankan bisnis untuk melihat program pendidikan dari penyedia cloud utama, Cloud Security Alliance, dan (ISC) ², yang semuanya memiliki kursus keamanan awan.