Mari kita singkirkan basa-basi dalam keamanan cloud. Saat Anda membangun dan berinovasi di cloud, Anda menciptakan labirin peran, izin, dan sumber daya yang harus diamankan dengan bijak. Rahasia kotorannya adalah saat organisasi meluncurkan dan membangun infrastruktur baru, mereka juga menciptakan labirin izin yang dapat dieksploitasi penyerang jika mereka mendapatkan kata sandi atau kredensial yang valid.
Prinsip Zero Trust mengharuskan koneksi dalam interaksi ‘jangan pernah percaya, selalu verifikasi’ dengan lingkungan cloud mereka. Konsep ini harus melampaui autentikasi dasar. Ya, sebagian besar organisasi dengan bijak mengautentikasi akses cloud dengan kontrol inti seperti single sign-on (SSO) dan multi-factor authentication (MFA), tetapi apakah dasar-dasar ini cukup untuk menjaga penyerang tetap jauh? Seperti yang telah kita lihat berulang kali, beberapa pelanggaran terbesar di lingkungan cloud dimulai dengan serangan kompromi identitas dasar.
Di sinilah kontrol utama seperti Cloud Infrastructure Entitlements Management (CIEM) dan privileged access management (PAM) berperan. Kontrol CIEM memberikan visibilitas yang diperlukan untuk mengurangi penyebaran izin dan menerapkan akses hak minimum, membatasi radius ledakan serangan. Kontrol PAM mengurangi risiko akses yang dikompromikan sekaligus mengamankan dan mengaudit akses setelah autentikasi.
Bersama-sama, CIEM dan kontrol akses aman dapat memberikan perlindungan pertahanan berlapis yang efektif, tetapi mengimplementasikan kontrol ini bisa lebih menantang dari yang terlihat. Berikut beberapa praktik terbaik dari Wiz dan CyberArk.
Dapatkan Visibilitas Penuh terhadap Identitas Cloud dan Izin Efektif
Langkah pertama dalam mengamankan hak akses cloud adalah memahami siapa yang memiliki akses ke apa di seluruh cloud, SaaS, dan lingkungan penyedia identitas (IdP). Dengan izin yang sering tersebar di banyak platform dan berlapis dengan kontrol akses kompleks, organisasi membutuhkan visibilitas terpusat untuk mengungkap akses efektif ke sumber daya cloud.
Solusi CIEM harus memberikan peta lengkap akses efektif, memperhitungkan kontrol native cloud seperti batasan, daftar kontrol akses (ACL), kebijakan kontrol layanan (SCP), dan kebijakan kontrol sumber daya (RCP). Dengan mengkorelasikan identitas manusia dan non-manusia dengan sumber daya cloud, tim keamanan dapat dengan cepat mengidentifikasi izin berisiko dan membantu memastikan hanya akses yang berwenang ke data penting yang diizinkan.
Hilangkan Risiko Identitas dan Terapkan Akses Hak Minimum
Setelah Anda memiliki gambaran jelas tentang hak akses cloud dan izin efektifnya, langkah berikutnya adalah mengurangi akses yang tidak perlu dan menghilangkan risiko identitas untuk membatasi paparan. Karena identitas berisiko dapat menjadi titik masuk ke cloud Anda dan berpotensi memungkinkan pergerakan lateral serta eskalasi hak istimewa, tujuan kami adalah menghilangkan risiko identitas secara proaktif.
Untuk menerapkan hak minimum dan mengamankan identitas Anda, menggunakan solusi CIEM dapat membantu Anda:
- Mengidentifikasi dan menghapus akses berlebihan dan hak istimewa tinggi untuk identitas manusia dan non-manusia agar selaras penuh dengan aturan hak minimum.
- Mencabut akses yang tidak digunakan untuk mencegah peran yang tidak aktif atau tidak perlu menjadi risiko keamanan.
- Mendeteksi kesalahan konfigurasi identitas yang melemahkan keamanan, seperti tidak ada MFA atau kebijakan kata sandi yang lemah.
- Mengamankan identitas pihak ketiga, memastikan vendor hanya memiliki izin yang diperlukan ke lingkungan Anda.
Solusi CIEM harus menyediakan langkah perbaikan terpandu untuk semua risiko identitas dan izin berlebihan agar tim keamanan dapat dengan cepat menyesuaikan izin dan mengurangi risiko.
Terapkan Akses dengan Zero Standing Privileges
Setelah menentukan izin untuk akses hak minimum, pengguna cloud dapat bergerak produktif untuk menyelesaikan masalah dengan aplikasi dan layanan cloud.
Tetapi apa yang terjadi setelah jam kerja ketika hak istimewa tetap ada?
Jika insinyur masih memiliki akses ke layanan cloud setelah menyelesaikan tugas mereka, mereka menjadi target yang sangat menarik bagi penyerang.
Masuklah konsep akses dengan zero standing privileges (ZSP). Dengan memberikan akses hak istimewa sesuai prinsip just in time, just enough, dan gone just after, organisasi meminimalkan permukaan serangan mereka. Hak minimum bukan sekedar kata kunci di sini—itu adalah prinsip inti. Jika penyerang mengompromikan kredensial atau identitas, mereka memiliki nol izin, sehingga mereka tidak dapat mencapai tujuan mereka atau bergerak lateral untuk mengompromikan aset tambahan.
Nilai gabungan dari ZSP dan CIEM sangat besar. Organisasi mendapatkan perlindungan dalam dua cara: pertama, dengan hak minimum dari kontrol CIEM, pengguna yang berwenang memiliki hak istimewa yang diperlukan untuk menyelesaikan tugas mereka dan tidak lebih. Kedua, dengan akses ZSP, kredensial dan identitas menjadi tidak berguna bagi penyerang untuk dicuri.
Prioritaskan Jalur Serangan Kritis
Untuk secara efektif mengurangi permukaan serangan dan melindungi aset penting, penting untuk memahami bagaimana risiko identitas berkorelasi dengan risiko cloud lainnya, seperti kerentanan, konfigurasi salah, dan data. Misalnya, pengguna dengan hak istimewa tinggi dan akses ke data pelanggan adalah risiko yang jauh lebih besar daripada identitas dengan izin berlebih tanpa akses ke aset penting.
Memiliki grafik keamanan yang menunjukkan konteks di sekitar risiko membantu tim memahami bagaimana risiko berkorelasi untuk membentuk jalur serangan. Dengan memasukkan konteks cloud yang lebih besar ke dalam strategi CIEM, organisasi dapat lebih memprioritaskan risiko identitas dan memfokuskan upaya perbaikan pada risiko paling kritis.
Pertahankan Pengalaman Pengguna Saat Menerapkan Kontrol Hak Istimewa
Akses di cloud harus tetap alami. Organisasi harus membuat kontrol yang mulus, bukan tambahan yang canggung yang akan dibenci oleh pengguna seperti insinyur dan ilmuwan data.
Pengalaman pengguna native sangat penting; insinyur harus dapat menggunakan CLI dan antarmuka konsol web favorit mereka. Sesuai praktik terbaik penyedia layanan cloud, organisasi harus menghindari memaksa tim menggunakan akun bersama kecuali benar-benar diperlukan.
Kontrol harus sesuai dengan alur kerja alami. Tujuannya bukan memperlambat pengguna—melainkan menjaga mereka tetap aman.
Terapkan Kontrol Hak Istimewa Setelah Autentikasi untuk Pertahanan Berlapis
Sampai sekarang, kita telah membahas penggunaan alat CIEM untuk menerapkan hak minimum dan membiarkan pengguna masuk ke cloud dengan aman. Sama pentingnya untuk menjaga pengguna tetap aman saat mereka berada di dalam.
Sangat penting menerapkan prinsip Zero Trust setelah akses valid dengan hak minimum diberikan dan ditingkatkan untuk pengurangan risiko maksimal. Berikut beberapa kontrol tambahan untuk mengurangi risiko dalam sesi pengguna yang tervalidasi:
- Autentikasi berkelanjutan: Terapkan mantra Zero Trust “jangan pernah percaya, selalu verifikasi.” Autentikasi berkelanjutan dan peningkatan langkah membantu memvalidasi ID pengguna saat insinyur melakukan tindakan tambahan di cloud.
- Perlindungan sesi: Dengan browsing aman dan penerapan kontrol hak istimewa cerdas, organisasi dapat melindungi dari ancaman berbasis web seperti pembajakan sesi dan pencurian cookie.
- Perekaman sesi: Merekam sesi membantu organisasi melihat dengan tepat apa yang terjadi selama sesi pengguna untuk audit, kepatuhan, atau forensik jika terjadi insiden atau gangguan. Selain itu, ini mencegah ancaman dari dalam.
Implementasikan Tata Kelola Identitas Berkelanjutan
Lingkungan cloud bersifat dinamis, dengan pengguna, aplikasi, dan infrastruktur yang terus berubah. Tanpa tata kelola berkelanjutan, identitas dapat mengumpulkan izin usang atau konfigurasi yang tidak aman, dan risiko ini dapat tidak terdeteksi dalam waktu lama. Oleh karena itu, CIEM memberikan tata kelola berkelanjutan yang penting, mendeteksi kesalahan konfigurasi dan risiko baru saat diperkenalkan ke lingkungan Anda sehingga perbaikan dapat dilakukan cepat. Dengan menerapkan tata kelola berkelanjutan, organisasi memastikan bahwa hak minimum tetap diterapkan seiring waktu dan tidak bergeser karena perubahan operasional.
Rencanakan untuk Kejadian Tak Terduga dengan Akses On-demand
Bahkan tim teknik terbaik pun menghadapi gangguan atau situasi kritis yang membutuhkan perbaikan mendesak. Tapi bagaimana jika insinyur on-call tidak memiliki izin yang diperlukan untuk memperbaiki gangguan?
Memungkinkan permintaan akses on-demand masih mungkin dalam kerangka zero standing privileges. Dengan mengotomatiskan persetujuan akses berbasis konteks dan mengintegrasikan dengan alat ChatOps, organisasi dapat memberikan akses cepat dan mulus bagi insinyur on-call mereka untuk memperbaiki masalah.
Misalnya, organisasi Anda dapat memungkinkan insinyur mengajukan kenaikan akses on-demand secara aman dengan otomatisasi persetujuan selama jendela on-call mereka. Jadi, insinyur dapat dengan cepat menerima hak istimewa yang diperlukan untuk memperbaiki keadaan darurat di akhir pekan. Sementara itu, organisasi tetap dapat mengawasi sesi insinyur tersebut dan mencabut hak istimewa setelah masalah diperbaiki dan kembali ke keadaan ZSP.
Pada dasarnya, saat insinyur on-call dipanggil pada keadaan darurat akhir pekan, mereka dapat dengan cepat meminta dan menerima izin untuk menyelesaikan masalah, dengan jejak audit lengkap dan tanpa risiko dari hak istimewa permanen. Jadi, insinyur Anda dapat dengan cepat menyelamatkan situasi—dan kemudian kembali beristirahat.
Akhirnya, tujuan bagi tim keamanan cloud adalah mengoperasionalkan ZSP dan prinsip keamanan Zero Trust lainnya di seluruh lingkungan cloud. Wiz menyediakan penemuan izin dan konfigurasi berisiko kelas dunia untuk menerapkan hak minimum serta rekomendasi untuk menerapkan zero standing privileges melalui CyberArk.
Ingin menjelajahi integrasi Wiz-CyberArk? Pelajari lebih lanjut di halaman Integrasi Wiz dan di CyberArk Marketplace.
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. CyberArk menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di cyberark.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!