Meskipun keamanan cloud telah mengalami banyak kemajuan sejak awal adopsi cloud, kenyataannya masih banyak jalan yang harus ditempuh sebelum sebagian besar organisasi saat ini benar-benar mematangkan praktik keamanan cloud mereka. Dan hal ini sangat merugikan organisasi dalam hal insiden keamanan.

Sebuah studi Vanson Bourne awal tahun ini menunjukkan bahwa hampir separuh pelanggaran yang dialami organisasi pada tahun lalu berasal dari cloud. Studi yang sama menemukan bahwa rata-rata organisasi kehilangan hampir $4.1 juta akibat pelanggaran cloud pada tahun lalu.

Dark Reading baru-baru ini bertemu dengan bapak baptis keamanan zero trust, John Kindervag, untuk membahas keadaan keamanan cloud saat ini. Saat menjadi analis di Forrester Research, Kindervag membantu membuat konsep dan mempopulerkan model keamanan zero trust. Saat ini dia adalah penginjil utama di Illumio, di mana di tengah penjangkauannya, dia masih sangat mendukung zero trust, menjelaskan bahwa ini adalah cara utama untuk mendesain ulang keamanan di era cloud. Menurut Kindervag, organisasi harus menghadapi kenyataan pahit berikut ini untuk mencapai kesuksesan.

1. Anda Tidak Menjadi Lebih Aman Hanya dengan Menggunakan Cloud

Salah satu mitos terbesar saat ini tentang cloud adalah bahwa cloud lebih aman dibandingkan kebanyakan lingkungan lokal, kata Kindervag.

“Ada kesalahpahaman mendasar tentang cloud bahwa ada lebih banyak keamanan yang tertanam di dalamnya, bahwa Anda lebih aman dengan mengakses cloud hanya dengan langsung mengakses cloud,” katanya.

Masalahnya adalah meskipun penyedia cloud hyperscale mungkin sangat baik dalam melindungi infrastruktur, kendali dan tanggung jawab atas postur keamanan pelanggan mereka sangat terbatas.

“Banyak orang mengira mereka melakukan outsourcing keamanan ke penyedia cloud. Mereka pikir mereka mengalihkan risiko,” katanya. “Dalam keamanan siber, Anda tidak akan pernah bisa memindahkan risiko. Jika Anda adalah penjaga data tersebut, Anda akan selalu menjadi penjaga data tersebut, tidak peduli siapa yang menyimpannya untuk Anda.”

Inilah sebabnya mengapa Kindervag bukanlah penggemar berat ungkapan “tanggung jawab bersama,” yang menurutnya terkesan seperti ada pembagian kerja dan usaha 50-50. Dia lebih menyukai kalimat “jabat tangan yang tidak merata,” yang diciptakan oleh mantan rekannya di Forrester, James Staten.

“Itulah masalah mendasarnya, yaitu masyarakat berpikir bahwa ada model tanggung jawab bersama, dan malah terjadi jabat tangan yang tidak seimbang,” katanya.

2. Kontrol Keamanan Asli Sulit Dikelola di Dunia Hibrida

Sementara itu, mari kita bahas tentang peningkatan kontrol keamanan cloud asli yang telah dikembangkan oleh penyedia layanan selama dekade terakhir. Meskipun banyak penyedia telah melakukan pekerjaan dengan baik dengan menawarkan pelanggan kontrol lebih besar atas beban kerja, identitas, dan visibilitas mereka, kualitas tersebut tidak konsisten. Seperti yang dikatakan Kindervag, “Beberapa di antaranya bagus, beberapa tidak.” Masalah sebenarnya dari semua layanan tersebut adalah sulitnya mengelolanya di dunia nyata, di luar isolasi lingkungan penyedia tunggal.

“Dibutuhkan banyak orang untuk melakukannya, dan mereka berbeda di setiap cloud. Saya pikir setiap perusahaan yang saya ajak bicara dalam lima tahun terakhir memiliki model multicloud dan hybrid, keduanya terjadi pada waktu yang sama,” katanya. “Hybrid adalah, 'Saya menggunakan barang-barang lokal dan cloud, dan saya menggunakan beberapa cloud, dan saya mungkin menggunakan beberapa cloud untuk memberikan akses ke layanan mikro yang berbeda untuk satu aplikasi.' Satu-satunya cara untuk mengatasi masalah ini adalah dengan memiliki kontrol keamanan yang dapat dikelola di seluruh cloud.”

Ini adalah salah satu faktor besar yang mendorong diskusi mengenai perpindahan zero trust ke cloud, katanya.

“Zero trust berfungsi di mana pun Anda menyimpan data atau aset. Bisa jadi di awan. Bisa saja di lokasi. Bisa saja di titik akhir,” katanya.

3. Identitas Tidak Akan Menyelamatkan Cloud Anda

Dengan banyaknya penekanan yang diberikan pada manajemen identitas cloud saat ini, dan perhatian yang tidak proporsional pada komponen identitas dalam zero trust, penting bagi organisasi untuk memahami bahwa identitas hanyalah bagian dari sarapan yang seimbang untuk zero trust terhadap cloud.

“Sebagian besar narasi zero trust adalah tentang identitas, identitas, identitas,” kata Kindervag. “Identitas itu penting, tapi kita menggunakan identitas dalam kebijakan tanpa rasa percaya. Ini bukanlah akhir dari segalanya. Itu tidak menyelesaikan semua masalah.”

Maksud Kindervag adalah bahwa dengan model zero trust, kredensial tidak secara otomatis memberi pengguna akses ke apa pun dalam cloud atau jaringan tertentu. Kebijakan tersebut membatasi secara tepat apa dan kapan akses diberikan ke aset tertentu. Kindervag telah lama mendukung segmentasi — jaringan, beban kerja, aset, data — jauh sebelum dia mulai memetakan model zero trust. Seperti yang dijelaskannya, inti dari mendefinisikan akses zero trust berdasarkan kebijakan adalah membagi hal-hal ke dalam “permukaan perlindungan,” karena tingkat risiko dari berbagai jenis pengguna yang mengakses setiap permukaan perlindungan akan menentukan kebijakan yang akan diterapkan pada kredensial tertentu.

“Itulah misi saya, yaitu membuat masyarakat fokus pada apa yang mereka butuhkan untuk dilindungi, menempatkan hal-hal penting tersebut ke dalam berbagai platform perlindungan, seperti database kartu kredit PCI Anda harus berada di platform perlindungannya sendiri. Basis data HR Anda harus berada di permukaan perlindungannya sendiri. HMI Anda untuk sistem IoT atau sistem OT Anda harus berada pada permukaan pelindungnya sendiri,” katanya. “Saat kami memecah masalah menjadi bagian-bagian kecil, kami menyelesaikannya satu demi satu, dan kami melakukannya satu demi satu. Hal ini membuatnya lebih terukur dan dapat dilakukan.”

4. Terlalu Banyak Perusahaan Tidak Tahu Apa yang Mereka Coba Lindungi

Saat organisasi memutuskan cara mengelompokkan permukaan perlindungan mereka di cloud, pertama-tama mereka harus mendefinisikan dengan jelas apa yang ingin mereka lindungi. Hal ini penting karena setiap aset atau sistem atau proses akan membawa risiko uniknya sendiri, dan hal ini akan menentukan kebijakan akses dan upaya yang dilakukan untuk mengatasinya. Leluconnya adalah Anda tidak akan membangun brankas senilai $1 juta untuk menampung beberapa ratus sen. Cloud yang setara dengan itu akan memberikan banyak perlindungan pada aset cloud yang terisolasi dari sistem sensitif dan tidak menampung informasi sensitif.

Kindervag mengatakan sangat umum bagi organisasi untuk tidak memiliki gagasan yang jelas tentang apa yang mereka lindungi di cloud atau di luarnya. Faktanya, sebagian besar organisasi saat ini bahkan belum memiliki gagasan yang jelas tentang apa yang ada di cloud atau apa yang terhubung ke cloud, apalagi apa yang perlu dilindungi. Misalnya, sebuah studi Aliansi Keamanan Cloud menunjukkan bahwa hanya 23% organisasi yang memiliki visibilitas penuh terhadap lingkungan cloud. Dan studi Illumio yang dilakukan awal tahun ini menunjukkan bahwa 46% organisasi tidak memiliki visibilitas penuh terhadap konektivitas layanan cloud organisasi mereka.

“Masyarakat tidak memikirkan apa yang sebenarnya ingin mereka capai, apa yang ingin mereka lindungi,” katanya. Ini adalah masalah mendasar yang menyebabkan perusahaan membuang banyak uang keamanan tanpa menyiapkan perlindungan yang tepat dalam prosesnya, jelas Kindervag. “Mereka akan mendatangi saya dan berkata 'Zero trust tidak berhasil,' dan saya akan bertanya, 'Apa yang ingin Anda lindungi?' dan mereka akan berkata, 'Saya belum memikirkan hal itu,' dan jawaban saya adalah 'Ya, Anda bahkan belum mendekati memulai proses zero trust. '”

5. Insentif Pengembangan Cloud Native Sudah Habis

Praktik DevOps dan pengembangan cloud native telah ditingkatkan secara signifikan melalui kecepatan, skalabilitas, dan fleksibilitas yang diberikan oleh platform dan peralatan cloud. Jika keamanan diterapkan dengan tepat, hal-hal baik bisa terjadi. Namun Kindervag mengatakan bahwa sebagian besar organisasi pembangunan tidak diberi insentif yang tepat untuk mewujudkan hal tersebut – yang berarti bahwa infrastruktur cloud dan semua aplikasi yang ada di dalamnya berada dalam risiko dalam proses tersebut.

“Saya ingin mengatakan bahwa orang-orang di aplikasi DevOps adalah Ricky Bobby di bidang IT. Mereka hanya ingin berjalan cepat. Saya ingat berbicara dengan kepala pengembangan di sebuah perusahaan yang akhirnya dibobol, dan saya bertanya kepadanya apa yang dia lakukan mengenai keamanan. Dan dia berkata, 'Tidak ada, saya tidak peduli dengan keamanan,'” kata Kindervag. “Saya bertanya, 'Bagaimana bisa Anda tidak peduli dengan keamanan?' dan dia berkata 'Karena saya tidak punya KPI untuk itu. KPI saya mengatakan saya harus melakukan lima push sehari di tim saya, dan jika saya tidak melakukan itu, saya tidak mendapat bonus.'”

Kindervag mengatakan ini adalah ilustrasi dari salah satu masalah besar, tidak hanya di AppSec, namun juga beralih ke zero trust untuk cloud dan seterusnya. Terlalu banyak organisasi yang tidak memiliki struktur insentif yang tepat untuk mewujudkan hal tersebut – dan kenyataannya banyak organisasi yang memiliki insentif buruk yang pada akhirnya mendorong praktik yang tidak aman.

Inilah sebabnya dia menganjurkan pembangunan pusat keunggulan zero trust (zero trust) dalam perusahaan yang tidak hanya mencakup ahli teknologi namun juga kepemimpinan bisnis dalam perencanaan, desain, dan proses pengambilan keputusan yang berkelanjutan. Ketika tim lintas fungsi ini bertemu, katanya, dia melihat “struktur insentif berubah secara real time” ketika seorang eksekutif bisnis yang berpengaruh melangkah maju dan mengatakan bahwa organisasinya akan bergerak ke arah tersebut.

“Inisiatif zero trust yang paling sukses adalah inisiatif yang melibatkan para pemimpin bisnis,” kata Kindervag. “Saya mempunyai sebuah kasus di sebuah perusahaan manufaktur yang wakil presiden eksekutifnya – salah satu pemimpin tertinggi di perusahaan tersebut – menjadi pendukung transformasi zero trust dalam lingkungan manufaktur. Itu berjalan sangat lancar karena tidak ada penghambat.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024