Apa itu Keamanan Infrastruktur Cloud?

Keamanan infrastruktur cloud mengacu pada teknologi, kontrol, dan kebijakan yang didesain untuk meningkatkan postur keamanan infrastruktur cloud yang mendasarinya. Keamanan infrastruktur cloud yang kuat membantu memberikan perlindungan dari ancaman seperti peristiwa DDoS, kehilangan data, dan kesalahan konfigurasi yang dapat menyebabkan peristiwa keamanan yang tidak terduga. Keamanan infrastruktur cloud adalah komponen inti dari keamanan cloud.

Model tanggung jawab bersama adalah sistem yang menentukan pihak yang bertanggung jawab atas tindakan keamanan siber tertentu antara penyedia cloud dan Anda. Tanggung jawab dapat jatuh pada Anda, penyedia cloud, atau menjadi tanggung jawab bersama antara kedua belah pihak.

Berikut adalah tanggung jawab utama masing-masing pihak dalam model tanggung jawab bersama.

Tanggung jawab penyedia cloud

Penyedia cloud bertanggung jawab untuk melindungi infrastruktur fisik yang menjalankan layanan cloud mereka. Perangkat keras, perangkat lunak, jaringan, dan fasilitas apa pun yang melekat pada layanan adalah tanggung jawab penyedia cloud.

Tanggung jawab Anda

Tanggung jawab Anda dalam model tanggung jawab bersama ditentukan oleh layanan cloud yang Anda pilih. Secara keseluruhan, layanan tersebut menentukan jumlah pekerjaan konfigurasi yang harus Anda lakukan sebagai bagian dari tanggung jawab keamanan Anda. Anda bertanggung jawab atas tugas-tugas seperti mengelola data, termasuk opsi enkripsi, mengklasifikasikan aset, dan menggunakan alat Identity and Access Management (IAM) untuk menerapkan izin yang sesuai.

Tanggung jawab bersama

Beberapa kontrol berlaku untuk lapisan infrastruktur penyedia dan lapisan pelanggan, tetapi dalam konteks atau perspektif yang terpisah. Jika tanggung jawab dibagi, penyedia cloud menerapkan persyaratan untuk infrastruktur, sementara pelanggan memberikan implementasi kontrol dalam penggunaan layanan cloud mereka. Contohnya termasuk manajemen konfigurasi, kesadaran, dan pelatihan.

Infrastruktur cloud mendasari semua layanan cloud, sehingga keamanannya vital untuk semua beban kerja di cloud.

Berikut adalah beberapa alasan mengapa keamanan infrastruktur cloud penting bagi bisnis.

Membantu mencegah akses tidak sah di lingkungan cloud

Pelaku ancaman menargetkan lingkungan cloud karena besarnya volume data yang dikandungnya. Kesalahan konfigurasi, kontrol yang lemah, atau kerentanan yang mendasari dalam infrastruktur cloud dapat menjadi titik masuk untuk kelompok pihak ketiga yang tidak sah. Langkah-langkah keamanan infrastruktur cloud harus mengidentifikasi dan mengontrol titik-titik masuk ini, sehingga membantu menjaga keamanan data perusahaan Anda dan mendorong kerahasiaan data.

Mengurangi gangguan pada keberlangsungan bisnis

Ancaman siber tertentu, seperti peristiwa Penolakan Layanan Terdistribusi (DDoS), bertujuan mengurangi kemampuan organisasi untuk berfungsi sebagaimana mestinya. Langkah-langkah keamanan infrastruktur cloud, seperti segmentasi jaringan, membantu mempertahankan diri dari ancaman internal dan eksternal secara proaktif serta membantu operasi bisnis Anda mempertahankan waktu aktif yang tinggi.

Mempertahankan kepercayaan

Ketika sebuah organisasi terlibat dalam peristiwa keamanan siber, terutama yang terkait dengan data pelanggan yang disimpan di cloud, reputasi organisasi dapat rusak. Keamanan infrastruktur cloud melindungi layanan virtual yang berjalan di cloud dengan lebih baik, sehingga membantu memastikan bahwa data perusahaan yang sensitif tetap bersifat privat.

Solusi keamanan infrastruktur cloud biasanya sudah bersifat cloud-native sejak awal.

Berikut adalah komponen kunci keamanan infrastruktur cloud.

Manajemen identitas dan akses

Organisasi meng-hosting data dan informasi sensitif di cloud serta membantu memastikan bahwa pengguna yang berwenang dapat mengakses sumber daya cloud ini. Manajemen identitas dan akses (IAM) menentukan peran pengguna mana yang dapat berinteraksi dengan atau menemukan data. Selain sistem izin, IAM dapat memverifikasi kepemilikan akun cloud dengan autentikasi multifaktor untuk membantu mencegah masuknya pengguna yang tidak sah.

Pembuatan log dan telemetri

Layanan pembuatan log dan telemetri bertujuan untuk mendokumentasikan tindakan dan peristiwa tertentu dalam sistem cloud. Dengan membuat log peristiwa akses, pergerakan informasi, dan tindakan keamanan siber secara hati-hati, organisasi mencapai visibilitas lebih lanjut ke dalam infrastruktur cloud mereka. Telemetri operasional yang dipancarkan oleh sistem kritis dapat menciptakan jejak informasi, yang sering digunakan dalam audit.

Analitik

Solusi analitik dapat menggunakan telemetri operasional dan data log yang ada untuk menentukan inkonsistensi, anomali, atau peristiwa tidak terduga yang memerlukan penyelidikan lebih lanjut. Sistem analitik seperti Security Information and Event Management (SIEM) mengagregasikan titik data untuk memberikan peringatan terkait dan melacak potensi peristiwa keamanan serta membantu memastikan bahwa sistem pemantauan keamanan infrastruktur cloud berfungsi sebagaimana mestinya.

Keamanan jaringan dan perangkat

Karyawan mengakses lingkungan cloud Anda dan sumber daya cloud yang disimpan di dalamnya dari berbagai lokasi dan perangkat. Untuk membentengi permukaan yang luas ini dari potensi ancaman, Anda dapat men-deploy berbagai solusi. Solusi ini mencakup keamanan jaringan dan perangkat untuk mengontrol lalu lintas masuk dan keluar, memfilter lalu lintas berbahaya, serta mengisolasi beban kerja untuk membantu memastikan bahwa jaringan tersegmentasi.

Enkripsi data

Keamanan data adalah proses umum untuk memastikan bahwa semua data, baik data bergerak maupun diam, dilindungi dari akses yang tidak sah. Keamanan infrastruktur cloud dapat menggunakan kebijakan klasifikasi data untuk menandai data berdasarkan sensitivitasnya dan menerapkan berbagai praktik keamanan untuk melindungi data. Anda dapat mengenkripsi data, baik data diam maupun bergerak, untuk membantu memastikan bahwa hanya pihak yang berwenang yang dapat mengakses data sensitif. Keamanan data juga melibatkan pengembangan dan penerapan strategi pencegahan kehilangan data untuk meningkatkan keamanan informasi.

Berikut adalah beberapa praktik terbaik untuk meningkatkan strategi keamanan cloud Anda dan membantu melindungi infrastruktur komputasi cloud yang mendasarinya.

Buat lapisan jaringan

Pembuatan lapisan jaringan melibatkan pengorganisasian komponen beban kerja Anda ke dalam grup logis berdasarkan fungsi dan sensitivitasnya, seperti server web yang terhubung dengan internet atau basis data backend. Dengan menempatkan komponen-komponen ini ke dalam subnet terpisah, Anda membantu menetapkan batas yang jelas dan menciptakan peluang untuk membantu mengontrol arus lalu lintas di antara komponen tersebut.

Pendekatan berlapis ini mendukung strategi pertahanan mendalam, di mana setiap lapisan bertindak sebagai titik pemeriksaan keamanan. Misalnya, hanya sumber daya di lapisan terluar yang harus diekspos ke internet, sedangkan sistem yang lebih sensitif, seperti basis data, tetap terisolasi dan hanya dapat diakses melalui jaringan internal.

Cloud privat virtual dan infrastruktur cloud privat membantu menciptakan jaringan dan infrastruktur yang terisolasi secara logis di cloud. Pembuatan kebijakan keamanan yang konsisten, yang menentukan jaringan dan penggunaan cloud, membantu meningkatkan keamanan lingkungan cloud.

Kontrol arus lalu lintas

Untuk mengontrol arus lalu lintas, Anda terkadang perlu menyegmentasi lingkungan untuk mengizinkan komunikasi yang diperlukan antara beban kerja, pengguna, dan sistem eksternal saja. Kontrol lalu lintas ini mencakup manajemen lalu lintas antara jaringan Anda dan internet (lalu lintas north-south) serta antara jaringan Anda dan internet (lalu lintas east-west).

Kesalahan yang umum dilakukan adalah hanya mengandalkan pertahanan perimeter atau mengasumsikan kepercayaan dalam lapisan jaringan. Sebaliknya, praktik terbaik menekankan pendekatan hak akses paling rendah, di mana Anda memberikan akses berbasis titik ke titik, antara pengguna dan aset cloud, termasuk server cloud. Kontrol lalu lintas masuk dan keluar dengan cara ini membantu membatasi dampak dari akses yang tidak sah serta mengefisienkan waktu deteksi dan respons selama terjadinya peristiwa keamanan.

Terapkan perlindungan berbasis inspeksi

Menerapkan perlindungan berbasis inspeksi berarti memeriksa lalu lintas saat bergerak di antara lapisan jaringan pada tingkat yang terperinci. Misalnya, menganalisis konten aktual, metadata, dan perilaku data bergerak. Perlindungan berbasis inspeksi memungkinkan Anda mendeteksi anomali atau potensi akses tidak sah berdasarkan intelijen ancaman waktu nyata. Anda dapat membuat aturan berdasarkan konteks aplikasi, identitas pengguna, atau ancaman yang diketahui, dan lebih mengetatkan aturan itu untuk beban kerja yang sensitif.

Otomatisasi perlindungan jaringan

Otomatisasi perlindungan jaringan menggunakan praktik DevOps seperti Infrastruktur sebagai Kode (IaC) dan pipeline CI/CD membantu organisasi men-deploy konfigurasi jaringan yang lebih aman, konsisten, dan dapat diulang. Jika terjadi perubahan, pipeline otomatis akan memulai alur kerja pengujian dan deployment. Perubahan pertama kali di-deploy ke lingkungan uji coba untuk validasi, tempat Anda dapat menguji apakah perubahan tersebut berfungsi sebagaimana mestinya sebelum diterapkan.

Kerangka Kerja AWS Well-Architected

Kerangka Kerja AWS Well-Architected menawarkan serangkaian praktik terbaik dan praktik desain keamanan cloud untuk membantu melindungi beban kerja AWS. Pilar keamanan kerangka kerja ini menawarkan panduan preskriptif tentang cara melindungi sistem, data, dan informasi Anda secara lebih baik dengan keamanan cloud yang kuat dan berlapis serta perlindungan yang proaktif.

Dengan sering meninjau pedoman Well-Architected, organisasi dapat meningkatkan postur keamanan cloud, sehingga membantu memastikan bahwa strategi keamanan infrastruktur cloud mereka tetap efektif.

Keamanan cloud adalah prioritas utama di AWS, dan desain infrastruktur global kami mendukung operasi berkelanjutan. Kami menjaga kepercayaan pelanggan dan partner dengan menyediakan alat serta layanan yang diperlukan untuk membantu melindungi aplikasi, data, dan beban kerja dalam skala besar. Infrastruktur AWS mencakup banyak wilayah geografis serta zona ketersediaan, yang masing-masing dirancang dengan kontrol fisik dan logis yang berlapis-lapis. Perlindungan ini diperkuat oleh pemodelan ancaman berkelanjutan dan pengujian ketat sepanjang siklus hidupnya.

AWS menawarkan berbagai layanan keamanan infrastruktur cloud untuk membantu melindungi keamanan infrastruktur organisasi Anda di AWS.

• Amazon GuardDuty membantu melindungi akun pengguna, beban kerja, dan data AWS Anda dengan deteksi ancaman cerdas.
• AWS Identity and Access Management (IAM) mengelola dan menskalakan beban kerja serta akses tenaga kerja dengan aman, yang mendukung ketangkasan dan inovasi Anda di AWS.
• Amazon Inspector secara otomatis menemukan beban kerja, seperti instans Amazon Elastic Compute Cloud (Amazon EC2), citra kontainer, dan fungsi AWS Lambda, serta repositori kode, lalu memindainya untuk mendeteksi kerentanan perangkat lunak dan paparan jaringan yang tidak diinginkan.
• Amazon Macie menemukan data sensitif menggunakan machine learning dan pencocokan pola, memberikan visibilitas ke dalam risiko keamanan, serta mengaktifkan perlindungan otomatis terhadap risiko tersebut.
• AWS Security Hub memprioritaskan masalah keamanan kritis dan membantu merespons dalam skala besar untuk melindungi lingkungan Anda. Layanan ini mendeteksi masalah kritis dengan mengorelasikan dan memperkaya sinyal menjadi wawasan yang dapat ditindaklanjuti, sehingga memungkinkan respons yang efisien. AWS Security Hub menyertakan manajemen postur keamanan cloud (CSPM) untuk memahami postur keamanan Anda saat ini.

Mulai gunakan keamanan infrastruktur cloud di AWS dengan membuat akun gratis sekarang.