Mengapa manajemen identitas perlu diperbarui untuk cloud [Q&A]

Keamanan data awan

Secara historis, manajemen akses dan identitas telah dibangun di sekitar model lokal. Tetapi dengan lebih banyak sistem yang sekarang berada di cloud, cara lama dalam melakukan sesuatu tidak berfungsi.

Untuk mengetahui lebih lanjut tentang mengapa cloud membutuhkan pendekatan baru untuk IAM, kami berbicara dengan CEO Britive, Art Poghosyan, tentang tantangan yang ditimbulkannya dan cara mengatasinya.

BN: Apa tantangan terbesar yang dihadapi perusahaan saat mengelola identitas dan akses di cloud?

AP: Kami sering menemukan bahwa sebagian besar organisasi tidak memiliki proses yang jelas dan berorientasi pada tindakan untuk mengelola identitas dan akses di lingkungan multi-cloud, atau berjuang untuk mengelola akses pengguna secara manual melalui spreadsheet, yang memakan waktu dan rentan terhadap kesalahan. Kemampuan untuk menemukan identitas dan izin mereka secara otomatis sangat penting. Setelah selesai, Anda harus dapat dengan mudah memulihkan akun yang terlalu istimewa, hak istimewa yang tidak digunakan, dan aktivitas terkait hak istimewa yang berisiko.

Satu-satunya cara untuk mencapai keamanan dalam skenario multi-cloud adalah dengan memusatkan dan mengotomatiskan kontrol identitas manusia dan ID mesin. Masalahnya di sini adalah bahwa tim DevOps memerlukan solusi yang memungkinkan mereka mengamankan akses cloud sambil mempercepat, daripada memperlambat pengembangan aplikasi cloud — batasan dari banyak solusi IAM dan PAM tradisional yang dianggap sebagai ‘benjolan’ yang mengganggu yang dapat menghambat kecepatan pembangunan.

Itulah mengapa Britive menggunakan pra-otorisasi untuk menetapkan akses dinamis dan sementara berdasarkan permintaan pengguna—tanpa perlu menghabiskan waktu untuk meminta hak istimewa yang lebih tinggi melalui admin layanan cloud. Dengan memberikan dan mencabut akses sementara secara otomatis, pengguna menerima izin yang mereka butuhkan saat mereka membutuhkannya. Otorisasi, bukan otentikasi yang memberikan akses; itu kemudian dicabut ketika waktu yang ditentukan berakhir atau pengguna menyelesaikan tugas.

Memprioritaskan otorisasi daripada otentikasi memungkinkan organisasi bergerak lebih cepat dan menutup celah keamanan. Hanya pengguna yang memiliki pra-otorisasi yang dapat memperoleh akses, yang memandu organisasi menuju postur keamanan tanpa hak istimewa dengan cepat dan efektif.

BN: Bagaimana kebangkitan cloud — dan pertumbuhan berkelanjutan dari layanan cloud individual — mengubah cara perusahaan harus mendekati manajemen identitas dan akses?

AP: Alih-alih mengamankan satu atau terbatas sejumlah identitas dan izin, yang khas untuk manajemen akses lokal, bermigrasi ke cloud berarti bahwa tim keamanan, IAM, dan DevOps dihadapkan pada pengelolaan proliferasi banyak identitas dan hak istimewa untuk setiap pengguna cloud. Dan karena akses ini mencakup beberapa layanan cloud, masing-masing dengan logika hak istimewa dan model penggunaannya sendiri, mencoba mengelola proses joiner/mover/leaver secara manual, tanpa model akses terpadu, menjadi hampir tidak mungkin.

Lebih lanjut, tumpukan teknologi cloud adalah solusi tambal sulam yang dirancang untuk mengatasi berbagai kebutuhan keamanan, banyak di antaranya tidak berlaku di lingkungan cloud. Mereka tidak dibangun sebagai satu kesatuan yang terintegrasi. Akibatnya, perusahaan harus memilih sejumlah PAM, IAM, IGA, IA, dan solusi tradisional lainnya untuk mengamankan layanan cloud.

Beberapa solusi ini telah diubah dari solusi lokal, yang tidak berfungsi. Perkuatan dengan cara ini bermasalah karena layanan cloud memiliki kebutuhan keamanan unik yang harus ditangani oleh solusi cloud-native terpadu. Kegagalan untuk melakukannya membawa kita ke situasi yang kita miliki saat ini. Ada banyak solusi ‘cloud’ yang tumpang tindih dan meninggalkan lubang serius karena tidak memiliki atau memiliki wawasan atau kontrol yang terbatas atas identitas dan izin lintas-cloud.

Kami telah mengembangkan platform manajemen akses cloud-native dengan kemampuan izin akses sementara dan tata kelola rahasia yang unik yang dirancang untuk mengkonsolidasikan fungsi IAM, PAM, IGA, dan CIEM cloud-centric yang paling penting, sambil memberdayakan pengembangan dan siap berintegrasi dengan proses CI/CD dan perkakas.

BN: Ransomware tampaknya menjadi topik hangat saat ini, bagaimana pendekatan manajemen akses dan identitas yang tepat dapat membantu mengekang insiden?

AP: Pendekatan yang tepat dimulai dengan mengurangi permukaan serangan Anda. Di cloud, itu berarti menggunakan ukuran hak hak istimewa untuk menampung sprawl hak istimewa. Dengan menghilangkan hak istimewa secara keseluruhan, organisasi Anda membatasi peluang yang dimiliki penyerang ransomware untuk mendapatkan pijakan di layanan cloud dan bergerak secara lateral melintasi infrastruktur.

Keistimewaan tetap memberi karyawan dan kontraktor yang sangat buruk akses yang mereka butuhkan untuk menimbulkan kerugian. Kami telah melihat banyak akun karyawan yang mengekspos, memanipulasi, dan memeras data perusahaan lama mereka. Meskipun biasanya tidak dianggap sebagai ransomware dalam pengertian tradisionalnya, pekerja lepas sehingga akses segera dihapus adalah masalah yang sah, sama dengan ancaman lain yang harus ditangani oleh organisasi cloud.

Oleh karena itu, organisasi wajib mengamankan ID manusia dan mesin di lingkungan cloud. Tapi itu harus dilakukan dengan cara yang tidak menghalangi pembangun awan. Jika keamanan ‘berat’ dan memperlambat pembangunan, pembangun akan lumpuh.

Ada harapan besar yang ditempatkan pada pembangun untuk memberikan dengan cepat dan berulang kali, sehingga ada godaan bagi para insinyur untuk memberikan hak istimewa yang berlebihan yang tetap terbuka selamanya — oleh karena itu meminimalkan proses otentikasi. Praktik ini membuat organisasi rentan.

Kita juga tahu bahwa banyak pelanggaran cloud adalah hasil dari database yang tidak aman, kesalahan manusia, dan kesalahan konfigurasi. Gartner memperkirakan bahwa pada tahun 2024 organisasi yang menjalankan infrastruktur cloud dapat mengharapkan minimal 2.300 pelanggaran terhadap kebijakan hak istimewa paling rendah per akun per tahun. Jadi, Anda memiliki dua peluang signifikan ini bagi aktor jahat untuk mengakses lingkungan Anda.

Singkatnya, pendekatan IAM yang tepat berarti meminimalkan radius ledakan Anda dan menggunakan otorisasi untuk menegakkan hak istimewa yang tidak ada. DevOps memerlukan solusi yang memungkinkan mereka membangun dengan kecepatan otomatisasi. Oleh karena itu, organisasi membutuhkan keamanan yang terintegrasi secara mulus dengan CI/CD dan proses pembangunan lainnya. Ketika identitas menerima akses sementara, para insinyur tidak perlu mempertahankan hak istimewa dan hak istimewa yang berlebihan. Kesalahan konfigurasi juga diminimalkan secara signifikan ketika akses dikelola secara otomatis.

BN: Apa saja praktik terbaik umum yang dapat diterapkan perusahaan untuk memastikan lingkungan cloud mereka tetap aman?

AP: Secara keseluruhan, perusahaan harus mematuhi prinsip nol kepercayaan di lingkungan multi-cloud. Ini berarti sikap jangan percaya tetapi verifikasi pada titik kontrol identitas/hak istimewa untuk setiap operasi layanan cloud kritis. Sayangnya, hanya menerapkan akses hak istimewa terkecil (LPA) seperti yang dilakukan banyak solusi IAM, PAM, dan CIEM tradisional, yang diperlukan untuk meminimalkan permukaan serangan hak istimewa organisasi, tidak cukup untuk mempertahankan akses tanpa kepercayaan. Jika ada kesalahan konfigurasi, atau identitas disusupi, pelaku jahat yang bertanggung jawab masih dapat mengakses lingkungan Anda dan menyebabkan kerusakan — terutama jika pengguna yang disusupi memiliki akses permanen yang lebih tinggi atau akun yang terlalu diistimewakan.

Selain LPA, sangat penting untuk mempertahankan hak istimewa yang tidak ada dan akses sementara yang dinamis karena jika terjadi insiden keamanan, aktor jahat tidak memiliki tempat untuk dituju — izin tidak ada dan kemampuan untuk berpindah secara lateral melintasi suatu lingkungan tertahan. Dengan demikian, kepercayaan nol dipertahankan ketika menyangkut hak akses yang lebih tinggi.

Perusahaan juga harus menghilangkan kerumitan dan meminimalkan waktu yang diperlukan untuk mengamankan identitas dan izin di lingkungan multi-cloud, termasuk layanan IaaS, PaaS, SaaS, dan DaaS.

IAM tradisional, bahkan ketika itu lintas-cloud, terbatas dalam kemampuannya untuk mengelola akses hak istimewa. Terlebih lagi, memantau banyaknya pengguna merupakan tantangan besar bagi organisasi yang beroperasi di lingkungan multi-cloud. Solusi manajemen akses istimewa lintas cloud memungkinkan organisasi untuk secara dramatis mengurangi jumlah waktu yang diperlukan untuk mengawasi akses dan secara bersamaan mengurangi risiko kesalahan manusia. Solusi cloud-native yang sebenarnya memberikan visibilitas lengkap di seluruh CSP, meningkatkan deteksi dan pemantauan, serta menyediakan analitik dan pelaporan sehingga tim dapat dengan cepat mengevaluasi siapa yang memiliki akses ke akun mana.

Ke depannya, ini semua tentang solusi cloud-native yang memberikan keamanan, manajemen risiko, dan nilai bisnis yang mengutamakan identitas.

Kredit gambar: jirsak / depositphotos.com

Author: Martha Meyer