Disponsori Penyimpanan dan wadah data yang tidak aman, membocorkan data sensitif perusahaan. Akses tidak terbatas ke port dan layanan jaringan. Izin yang berlebihan. Risiko yang terkait dengan sumber daya cloud yang salah dikonfigurasi sangat serius, yang secara efektif menjadi ajang sambutan bagi penjahat dunia maya.
Namun banyak kesalahan konfigurasi yang tidak terdeteksi oleh perusahaan yang mengembangkan dan menerapkan aplikasi dan layanan digital pada infrastruktur cloud publik. Tidak terdeteksi, hingga bencana melanda.
Mengingat posisi kepemimpinan pasar Amazon Web Services dalam layanan cloud publik, tidak mengherankan bahwa sejumlah besar kesalahan konfigurasi ini ditemukan dalam penerapan AWS. Tapi bukan raksasa awan yang salah di sini, kata Barak Schoster, kepala petugas teknologi spesialis keamanan awan Bridgecrew.
“Ekosistem AWS sangat kuat, perusahaan melakukan pekerjaan luar biasa - tetapi yang terkadang terlewatkan adalah bahwa keamanan data yang disimpan pelanggan di cloud adalah tanggung jawab pelanggan sendiri,” katanya.
Hal itu diperjelas oleh Model Tanggung Jawab Bersama AWS. “AWS bertanggung jawab atas keamanan cloud; tetapi pelangganlah yang bertanggung jawab atas keamanan di cloud. Dan itu berarti terserah kepada pelanggan untuk mengonfigurasi aplikasi dengan benar, kontrol akses berbasis peran, berbagi data, hal semacam itu, dan untuk selalu mengikuti praktik terbaik keamanan AWS dalam hal bagaimana infrastruktur dikonfigurasi dan dioperasikan. ”
Ini, akunya, bisa menjadi tantangan besar. “Rekayasa cloud bisa jadi sulit. Kami mengetahui hal ini dari percakapan kehidupan nyata yang kami lakukan dengan perusahaan cloud-native setiap hari, yang memberi tahu kami tentang masalah yang mereka hadapi dalam mengimplementasikan identitas dan aturan manajemen akses dan dalam menentukan praktik terbaik untuk layanan baru, ”katanya.
“Tantangan lainnya adalah, setelah masalah diidentifikasi dalam produksi, ini bisa menjadi proses yang panjang bagi tim keamanan untuk memberikan umpan balik kepada insinyur yang menulis kode dan memperbaikinya. Sering kali dapat memakan waktu berhari-hari, jadi lebih masuk akal untuk memberi teknisi itu apa yang mereka butuhkan untuk menerapkan konfigurasi keamanan yang tepat pada saat mereka benar-benar mengembangkan kode. ”Misi temukan dan perbaiki.
Dengan pemikiran tersebut, Bridgecrew memiliki misi untuk membantu perusahaan menemukan dan memperbaiki kesalahan konfigurasi di lingkungan AWS mereka tidak hanya pada waktu berjalan, tetapi juga jauh lebih awal, selama proses pembuatan. Bagaimanapun, tujuannya sederhana, menurut Schoster. Dengan mengotomatiskan keamanan cloud, menyematkannya lebih awal dalam siklus hidup pengembangan dan mengirimkannya sebagai kode, alat perusahaan berarti tim TI "menghabiskan lebih sedikit waktu untuk mengamankan infrastruktur mereka dan lebih banyak waktu untuk menskalakannya", katanya.
Ini dicapai melalui integrasi yang erat antara Bridgecrew dan berbagai layanan AWS. Setelah Bridgecrew terhubung ke akun AWS perusahaan, Bridgecrew menerapkan peran IAM hanya-baca di akun itu, melalui AWS CloudFormation, layanan infrastruktur-sebagai-awan (IaC) yang memungkinkan pengguna membuat koleksi AWS terkait dan ketiga- sumber daya partai dan penyediaan serta mengelolanya secara efisien. Peran IAM ini, Schoster menjelaskan, kemudian melakukan panggilan API hanya-baca untuk menilai konfigurasi dan mengidentifikasi masalah dalam layanan yang ada dan baru di AWS.
Kesalahan konfigurasi kemudian dikategorikan dalam beberapa cara: misalnya, menurut jenis, tingkat keparahan, dan penyimpangan dari seluruh rentang tolok ukur yang berkaitan dengan praktik terbaik dan kepatuhan keamanan. Ini tidak hanya mencakup praktik terbaik AWS, di berbagai area termasuk IAM, Kubernetes, jaringan, logging, Elasticsearch, S3, dan Tanpa Server, tetapi juga PCI-DSS 3.2 untuk detail pembayaran pelanggan, HIPAA dalam perawatan kesehatan dan NIST 800-53 untuk informasi federal yang berbasis di AS sistem. Bridgecrew saat ini dilengkapi dengan sekitar 500 kebijakan yang telah ditetapkan untuk konfigurasi praktik terbaik, perkiraan Schoster, dan jumlahnya terus bertambah sepanjang waktu berkat komunitas sumber terbuka yang berkontribusi pada sejumlah alat Bridgecrew, termasuk pemindai IaC, Checkov.
Ini sama sekali bukan tugas satu kali, tambahnya. Setelah terhubung ke akun AWS, Bridgecrew akan terus melakukan pemindaian semacam itu secara berkala, mencegah apa yang disebutnya "penyimpangan keamanan cloud" - kejadian umum di lingkungan cloud dinamis yang mengalami aliran pembaruan dan peningkatan yang stabil.
Pekerjaan pada lingkungan run-time juga tidak berakhir di sana. Bridgecrew juga dapat memberikan remediasi otomatis atas banyak kesalahan konfigurasi di AWS. “Ini merupakan bantuan besar bagi banyak tim teknik yang sudah menghadapi cukup banyak pekerjaan sehingga kami dapat mengambil tekanan untuk menangani perbaikan ini, tanpa perlu menambahkan tiket JIRA lagi ke tumpukan,” katanya.
Temukan dan perbaiki
Apa yang benar-benar menggairahkan Schoster tentang Bridgecrew adalah bagaimana hal itu diarahkan secara khusus pada cara berpikir dan kerja para insinyur - dan tidak ada tempat yang lebih jelas dalam cara teknologi terintegrasi dengan repositori kode, untuk menghadirkan pendekatan 'temukan-dan-perbaiki' yang sama untuk membuat kode dengan baik sebelum masuk ke produksi. Selain AWS, Bridgecrew mendukung Azure dan Google Cloud, serta berbagai alat dan kerangka kerja di luar ekosistem AWS. Ini termasuk Terraform, kerangka IaC besar, SCM / VCS seperti GitHub, GitLab, dan Bitbucket, dan penyedia CI / CD seperti CircleCI dan Jenkins.
Proses menempatkan pengembang asli yang bertanggung jawab atas keamanan kode yang mereka kembangkan biasanya disebut sebagai "pergeseran keamanan ke kiri", tetapi meskipun sering dibicarakan, banyak tim TI merasa sulit untuk mempraktikkannya, kata Schoster.
“Pada saat yang sama, kami telah melihat bahwa ini bisa sangat berharga dalam hal mendukung jenis pengembangan dan penerapan cepat yang ingin dicapai tim, serta menangkap kesalahan konfigurasi bahkan sebelum ada potensi bahaya,” katanya. “Jadi, ide kami adalah agar Bridgecrew menjalankan sebagai bagian dari rangkaian pengujian pada setiap dan setiap perubahan yang dibuat oleh pengembang pada kode infrastruktur cloud mereka, memindai masalah dan menghentikan masalah di jalurnya, menandai mereka di sana di CI / CD pipa. Sebenarnya, pencegahan lebih baik daripada mengobati.
Terlebih lagi, memperbaiki kesalahan konfigurasi IaC dengan menerapkan kebijakan keamanan umum melalui perubahan kecil pada aturan konfigurasi yang hilang atau nilai yang salah di template dan modul IaC pada waktu pembuatan membantu mempercepat penerapan di masa mendatang. “Dan itu dapat berdampak positif dan bertahan lama pada postur keamanan di masa mendatang.”
Dengan AWS, itu mungkin termasuk mengatur enkripsi bucket S3 saat diam ke bucket yang relevan, sehingga semua data berikutnya yang ditambahkan ke dalamnya dienkripsi secara otomatis. Ini mungkin berarti mengubah rotasi kunci otomatis di AWS Key Management Service (KMS), sehingga kunci yang digunakan untuk enkripsi dan dekripsi disegarkan secara lebih teratur. Ini bisa melibatkan pengaktifan Point-in-Time Recovery (PITR) untuk Amazon DynamoDB.
“Itu benar terutama jika Anda bekerja dalam lingkungan pengembangan di mana ada ratusan komitmen setiap hari dan Anda ingin masing-masing komitmen diperiksa. Di situlah kami bermain dengan kekuatan kami, karena semakin cepat tim mendapat peringatan tentang perubahan yang diperlukan, semakin baik umpan balik yang mereka miliki dan semakin sedikit overhead organisasi, ”kata Schoster.
“Saya tidak pernah meremehkan tantangan yang ada, karena saya sendiri adalah praktisi keamanan. Dan saya merasa cukup sulit untuk mengikuti AWS, meskipun saya membaca tentang pembaruan setiap hari dengan kopi pagi saya, melakukan percakapan di tempat kerja tentang perubahan terbaru, dan check in lagi tepat setelah saya menidurkan anak-anak saya. Ada banyak pekerjaan yang harus dilakukan untuk selalu mengikuti perkembangan praktik terbaik keamanan AWS, tetapi yang hebat tentang Bridgecrew adalah kami memiliki begitu banyak pengalaman yang masuk ke dalam ratusan kebijakan dan buku pedoman kami, serta komunitas sumber terbuka yang luar biasa yang membantu kami. ”
Disponsori oleh Bridgecrew
Sumber: https://go.theregister.com/feed/www.theregister.com/2020/11/02/aws_best_security_practices/
