Laporan Cloud Security oleh Snyk di tahun 2022. Bagaimana?
Komputasi awan telah menciptakan perubahan yang lebih besar dalam industri TI selama 20 tahun terakhir daripada faktor lainnya. Dengan teknologi cloud, perusahaan dapat membangun, menyebarkan, dan menskalakan aplikasi mereka lebih cepat dari sebelumnya. Namun, pelanggan cloud telah mengalami berbagai peristiwa keamanan dalam satu tahun terakhir, dengan pelanggaran data, kebocoran data, dan intrusi ke lingkungan mereka di antara yang paling serius.
(gambar milik cloudcomputing-news.net)
Menurut State of Cloud Security 2022 Report, 80% organisasi mengalami insiden serius dalam setahun terakhir, dan 33% mengalami pelanggaran data cloud. Pergeseran ke pengembang yang membangun dan menjalankan aplikasi secara native di cloud mengubah keamanan cloud, menurut untuk wawasan. Dalam laporan yang dihasilkan, peneliti keamanan cloud Snyk menggabungkan analisis mereka terhadap data survei dengan pengamatan dari pengalaman mereka sendiri. Berikut adalah tiga takeaways besar.
Kasus Cloud-Native Applications Menghadirkan Tantangan Keamanan Baru — dan Peluang Baru
Kasus penggunaan cloud yang dominan adalah sebagai platform untuk menghosting aplikasi pihak ketiga atau aplikasi yang dimigrasikan dari pusat data mereka. Seperempat responden survei Snyk menunjukkan bahwa penggunaan utama untuk lingkungan cloud adalah mengembangkan dan menjalankan aplikasi secara native di cloud.
Tim yang menggunakan cloud sebagai platform telah menghasilkan sejumlah inovasi, termasuk Infrastructure as Code (IaC), proses pengkodean yang digunakan pengembang untuk membangun dan mengelola infrastruktur cloud di samping aplikasi mereka.
Selain itu, pengembang yang memanfaatkan cloud semakin banyak menggunakan pendekatan cloud native, seperti container dan arsitektur “fungsi sebagai layanan” tanpa server.
Perubahan ini memiliki implikasi untuk keamanan. 41% tim yang mengadopsi pendekatan cloud native mengonfirmasi bahwa hal itu telah meningkatkan kompleksitas keamanan mereka. Pendekatan asli cloud juga mengharuskan tim untuk menambahkan keahlian keamanan tambahan dan memperkenalkan pelatihan keamanan tambahan. Cloud native juga memerlukan penerapan alat dan metodologi keamanan baru, seperti pendekatan “Shift Left”.
(gambar milik cloudcomputing-news.net)
Namun, sementara membangun dan menjalankan aplikasi di cloud menghadirkan tantangan keamanan baru, tim yang menggunakan pendekatan ini mengalami lebih sedikit insiden keamanan serius. Dua hal penting berikutnya dari laporan tersebut membantu menjelaskan alasannya.
Developer Mengambil Kepemilikan Atas Keamanan Cloud
Siapa yang memiliki keamanan cloud? Bergantung pada siapa Anda bertanya, kemungkinan besar Anda akan mendapatkan jawaban yang berbeda. Sementara TI memiliki keamanan cloud di sekitar setengah dari semua organisasi, 42% insinyur cloud mengatakan bahwa tim mereka terutama bertanggung jawab atas keamanan cloud. Namun, hanya 19% profesional keamanan yang setuju bahwa tim teknik melakukan pekerjaan itu.
Ini dapat dijelaskan oleh fakta bahwa insinyur cloud menginvestasikan waktu dan upaya yang signifikan ke dalam tugas keamanan cloud, dan mereka sering mencari cara untuk mengotomatisasi dan merampingkan proses ini. Adopsi infrastruktur sebagai kode untuk menyebarkan dan mengelola lingkungan cloud memberi para insinyur peluang untuk menemukan dan memperbaiki masalah dalam pengembangan daripada pasca-penerapan, ketika remediasi membutuhkan lebih banyak waktu dan sumber daya.
Pengembang mengontrol infrastruktur komputasi awan itu sendiri karena awan sepenuhnya ditentukan oleh perangkat lunak. Saat mereka membangun aplikasi di cloud, mereka juga membangun infrastruktur untuk aplikasi alih-alih membeli setumpuk infrastruktur dan menambahkan aplikasi. Itu adalah proses pengkodean menggunakan Infrastruktur sebagai Kode (IaC), dan pengembang memiliki proses itu.
Infrastruktur as a Code (IaC) memberikan ROI yang besar
Keamanan IaC adalah kemenangan besar — tidak hanya untuk mengurangi tingkat kesalahan konfigurasi, tetapi juga untuk meningkatkan produktivitas tim teknik dan kecepatan penerapan. Proses keamanan cloud yang tidak efisien sering kali menjadi faktor pembatas kecepatan untuk seberapa cepat tim dapat bekerja di cloud, dan keamanan IaC memberikan peningkatan yang signifikan dalam kecepatan dan produktivitas.
Pengurangan rata-rata dalam tingkat kesalahan konfigurasi dalam menjalankan lingkungan cloud yang dihasilkan dari pra-penerapan keamanan IaC adalah 70%. Meskipun keamanan IaC tidak dapat mencegah semua kesalahan konfigurasi runtime, penurunan 70% adalah signifikan, dan dapat menurunkan risiko bagi organisasi secara substansial.
Penurunan jumlah kesalahan konfigurasi juga berdampak langsung pada produktivitas rekayasa cloud. Karena tim ini dapat mengurangi jumlah waktu yang mereka perlu investasikan dalam mengelola dan memperbaiki masalah, mereka dapat menghabiskan lebih banyak waktu untuk membangun dan menambah nilai bagi organisasi.
Apa yang Dilakukan Tim Keamanan Cloud yang Efektif?
Sebagian besar profesional keamanan dan teknik cloud percaya bahwa risiko pelanggaran data cloud di organisasi mereka akan meningkat selama tahun depan, dengan hanya 20% yang memperkirakan risiko akan berkurang.
Keamanan cloud yang efektif memerlukan pencegahan kesalahan konfigurasi dan kerentanan desain arsitektur yang memungkinkan serangan cloud. Sukses membutuhkan fokus pada lima bidang mendasar ini:
Kenali lingkungan Anda. Pertahankan kesadaran akan status konfigurasi lingkungan cloud Anda dalam konteks penuh dengan aplikasi yang dijalankannya dan SDLC yang digunakan untuk mengembangkan, menerapkan, dan mengelolanya.
Fokus pada pencegahan dan desain yang aman. Cegah kondisi yang memungkinkan terjadinya pelanggaran cloud, termasuk kesalahan konfigurasi sumber daya dan kelemahan desain arsitektur. Anda tidak dapat mengandalkan kemampuan untuk mendeteksi dan mencegah serangan yang sedang berlangsung.
Berdayakan pengembang cloud untuk membangun dan mengoperasikan dengan aman. Saat engineer mengembangkan infrastruktur yang aman sebagai kode, mereka dapat menghindari perbaikan yang memakan waktu dan pengerjaan ulang nanti, sambil memberikan infrastruktur yang aman lebih cepat.
Sejajarkan dan otomatisasi dengan kebijakan sebagai kode (PaC): Jika kebijakan keamanan Anda hanya diekspresikan dalam bahasa manusia, kebijakan tersebut mungkin tidak ada sama sekali. Dengan PaC, Anda dapat mengekspresikan kebijakan dalam bahasa yang dapat digunakan program lain untuk memvalidasi kebenaran, dan Anda akan menyelaraskan semua pemangku kepentingan untuk beroperasi di bawah satu sumber kepercayaan pada kebijakan keamanan.
Ukur apa yang penting: identifikasi apa yang paling penting, baik itu mengurangi tingkat kesalahan konfigurasi, mempercepat proses persetujuan, atau meningkatkan produktivitas tim. Tim keamanan harus menetapkan garis dasar keamanan, menetapkan tujuan, mengukur kemajuan, dan siap menunjukkan keamanan lingkungan cloud mereka kapan saja.
Mengikuti lima langkah ini memungkinkan tim keamanan dan teknik bekerja sama untuk mengoperasionalkan keamanan cloud, yang mengurangi risiko, mempercepat inovasi, dan meningkatkan produktivitas tim.
Ada kebutuhan mengenai Cloud Security, hubungi [sales@btech.id] or [+62 811-111-8187]
Baca juga: MEMILIH CLOUD CI/CD PLATFORM YANG TEPAT UNTUK CLOUD ANDA!