Mengutip pepatah Amerika yang terkenal, cloud adalah penemuan terbaik dari roti iris hingga saat ini!
Ini adalah salah satu penemuan sejarah yang mengubah kebiasaan, paradigma kerja, proses bisnis dengan cara yang lembut namun tak terelakkan, diterima oleh realitas besar dan kecil, mampu membawa kontinuitas dan sekaligus inovasi yang mendalam.
Justru ciri-ciri terakhir inilah yang membuatnya kuat, sampai-sampai selama beberapa waktu temanya diperdebatkan awan hibrida - yaitu, yang terdiri dari bagian tradisional dan online, pengalaman pribadi dan yang bergantung pada penyedia bersama, dibangun di atas peningkatan proses yang telah ada selama beberapa waktu dan yang inefisiensinya diketahui sehubungan dengan inovasi mendalam dalam cara melakukan bisnis.
Jika dorongan - modis atau tidak - transformasi digital tidak cukup, situasi pandemi baru-baru ini telah menciptakan keadaan darurat dan modus operandi yang semakin memperburuk kebutuhan untuk membuat proses dan aplikasi dapat diakses dari jarak jauh dan di mana-mana setiap saat, dan terhubung dari mana saja.
Hal ini sering menyebabkan reaksi tergesa-gesa, kadang-kadang dianggap sebagai penyederhanaan dengan pengurangan biaya yang signifikan, sering didefinisikan sebagai "angkat-dan-pergeseran" dan ditandai dengan perpindahan server dari pusat data perusahaan tradisional ke lingkungan awan Amazon, microsoft atau googlici.
Proyek-proyek dengan pendekatan yang lebih terstruktur, bagaimanapun, telah menghipotesiskan rekayasa ulang platform aplikasi sesuai dengan prinsip-prinsip Platform-as-a-Service (atau PaaS).
Jika dari sudut pandang TI dan pengembangan, pendekatan modern dan efektif ini memerlukan fragmentasi server menjadi komponen fundamentalnya - seperti penyimpanan, daftar akses, jaringan, basis data, dan lainnya - hanya sedikit yang merasakan perbedaan besar dari sudut pandang keamanan, terutama dalam kaitannya dengan tanggung jawab bersama.
Konsep ini diringkas dengan sangat baik oleh Amazon Web Services atau AWS dalam kalimat "Pembedaan tanggung jawab ini biasanya disebut sebagai keamanan cloud versus keamanan cloud" dan sama-sama efektif diilustrasikan sebagai berikut.
Skema ini, sangat sering digunakan untuk mendidik perusahaan pada evolusi sadar proses bisnis mereka dan skema untuk memanfaatkan platform awan, menyajikan penyederhanaan konsep yang terkadang berlebihan yang akan saya coba jelaskan dengan sebuah contoh.
Mari kita asumsikan bahwa perusahaan fiktif ACME Ricambi Motoveicoli menyelesaikan transformasi digital pertamanya empat tahun lalu, menerapkan sistem server yang diekspos di Internet dan terletak di pusat datanya untuk membuat sistem yang ditujukan untuk penjualan online produk dan layanannya.
Dalam kasus ini, mari kita asumsikan bahwa solusinya berhasil tetapi ternyata terlalu rumit dan mahal untuk dirawat, karena infrastruktur yang diperlukan.
Jadi pada tahun 2019 proyek telah berkembang dengan pemindahan server di awan, dengan harapan pengurangan biaya.
Berkat pandemi yang menyebabkan peningkatan pengguna, kebutuhan untuk menskalakan sumber daya menyebabkan biaya untuk replika server lebih tinggi daripada efisiensi operasional, karena struktur server yang monolitik (tergesa-gesa menyebabkan memilih solusi cepat ...) .
Oleh karena itu, pada akhir tahun 2020, ACME Ricambi Motoveicoli kami memilih untuk merevisi proyek secara lengkap yang memecah-mecah komponen individual dari server, membuatnya secara seimbang dan terukur dalam awan. Pada dasarnya idenya adalah untuk memisahkan apa yang biasanya mendefinisikan server - misalnya penyimpanan atau ruang disk, database tempat data disimpan, aturan akses ke layanan yang terbuka, dan sebagainya. Setiap fragmen dikonfigurasi dalam awan secara individual, dengan sistem yang melipatgandakan permintaannya saat permintaan meningkat. Pendekatan ini ideal karena hanya mereplikasi komponen mosaik aplikasi yang membutuhkannya, mengoptimalkan rasio investasi/kinerja.
Jika dari sudut pandang aplikasi dan operasional ini adalah cara yang benar, dari sudut pandang keamanan ini memerlukan modifikasi mendalam dari strategi perlindungan - justru karena opacity khas dari tanggung jawab bersama.
Untuk memahami apa yang saya maksud, mari kita perdalam potongan grafik di atas:
Sekilas, jika Anda ingin membuat instance penyimpanan dan database, tanggung jawab untuk mengamankan semuanya tampaknya berada di tangan Amazon.
Dan tentu saja dalam hal penyimpanan dan/atau ketahanan instans DB.
Apa diagram yang disederhanakan tidak memberitahu kita bahwa jika kita melihat lebih dekat pada dua elemen ini dalam pengaturan keamanan, kita perhatikan berikut ini.
Konfigurasi instans penyimpanan, misalnya Amazon S3 Bucket, default ke Izin - Kebijakan Bucket - Prinsip nilai default *, yang memungkinkan siapa saja mengakses penyimpanan terbuka dan terjangkau.
Instans Amazon> RDS - yaitu database - memiliki konfigurasi database default tanpa perlindungan dari penghapusan.
Kompromi lingkungan awan - misalnya untuk pencurian kredensial - akan memungkinkan penyerang menghapus instance database, mungkin setelah mentransfer data.
Kedua contoh ini menggambarkan bagaimana keseluruhan konsep keamanan dalam paradigma PaaS membutuhkan pengetahuan yang biasanya tidak dapat dijangkau oleh semua orang; ini berarti kebutuhan untuk memperbarui keterampilan tim keamanan, elemen yang sering tidak dipertimbangkan dalam perencanaan proyek awan.
Juga diinginkan untuk memiliki inventaris khusus dan solusi analisis konfigurasi dinamis, mungkin mampu menjangkau beberapa penyedia layanan awan. Dengan cara ini kami sampai pada presentasi organik dan terpadu dari permukaan yang rentan, yang secara langsung dipetakan pada visibilitas yang dicapai dari lingkungan banyak awan, kemampuan yang dibahas dalam artikel sebelumnya "Dari data mentah hingga informasi yang dapat digunakan: visibilitas dan observabilitas".
Aliansi Keamanan Cloud, sebuah lembaga untuk penyebaran budaya keamanan di lingkungan awan, telah merilis dua publikasi penting yang saya rekomendasikan untuk dibaca:
Dua Belas Pengkhianat (Dua Belas Pengkhianat), di mana sudah pada tahun 2016 ia mendaftarkan dua belas insiden di awan penyebabnya terutama karena tidak mematuhi praktik terbaik dalam konfigurasi.
Sebelas yang Mengerikan (Gli Egregi Eleven), di mana dua tahun lalu ia memaparkan analisis sebelas insiden penting yang asalnya masih sering salah konfigurasi atau terlalu permisif sumber daya.
Il awan ini tentu saja merupakan cara untuk kelincahan bisnis yang lebih besar dan skala ekonomi dalam pengendalian biaya TI. Namun, adopsi teknologi baru ini tidak dapat mengabaikan pembaruan keterampilan keamanan dan peningkatan kemampuan visibilitas, observabilitas, deteksi, dan respons yang sesuai untuk tantangan baru ini.
Untuk memperdalam:
https://www.theinnovationgroup.it/ll-cloud-ibrido-leva-strategica-per-il...
https://aws.amazon.com/it/compliance/shared-responsibility-model/
