![Memenuhi tantangan untuk mengamankan aplikasi cloud-native [Q&A]](https://www.eri-salary-survey.com/wp-content/uploads/2022/12/Memenuhi-tantangan-untuk-mengamankan-aplikasi-cloud-native-QA.jpg)
Karena semakin banyak komputasi kami beralih ke cloud, melindungi informasi dan aplikasi menimbulkan serangkaian tantangan baru bagi perusahaan.
Kami berbicara dengan Ratan Tiperneni, presiden dan CEO spesialis perlindungan aplikasi cloud-native Tigera, untuk mengetahui lebih lanjut tentang implikasi keamanan menggunakan cloud native dan cara menghadapinya.
BN: Tantangan apa yang dihadirkan generasi baru aplikasi cloud-native, terutama yang berjalan di container dan Kubernetes, kepada DevOps dan tim keamanan?
RT: Karena semakin banyak perusahaan yang mengadopsi arsitektur cloud-native, khususnya yang berjalan di kontainer dan Kubernetes, tim keamanan perlu mengetahui berbagai pendekatan yang diperlukan untuk mengamankan lingkungan mereka. Meskipun arsitektur lama dapat diamankan secara wajar di perimeter, aplikasi cloud-native terlalu terdistribusi dan singkat untuk pendekatan ini. Untuk mengatasi tantangan ini, tim keamanan perlu membawa kontrol keamanan ke dalam beban kerja itu sendiri dengan platform keamanan aktif yang secara otomatis memindai gambar kontainer sesuai permintaan dan menerapkan kebijakan yang menetapkan kriteria untuk penerapan gambar. Selanjutnya, DevOps dan tim keamanan harus menyelaraskan upaya mereka untuk memastikan keamanan dipertimbangkan selama siklus hidup pengembangan.
BN: Mengapa tim infrastruktur dan keamanan membutuhkan pendekatan yang lebih holistik yang lebih fokus pada pencegahan dan mitigasi risiko selain deteksi dan peringatan?
RT: Jika satu-satunya fokus Anda adalah menemukan ancaman yang diketahui, Anda tidak akan dapat mengikutinya. Strategi ini menyebabkan tim aplikasi sibuk mencoba memperbaiki kerentanan tahun lalu sementara yang baru terus bermunculan. Alih-alih memaksakan pola pikir lama ini, kita perlu menerapkan keamanan aktif.
Keamanan aplikasi cloud-native bukanlah masalah tersendiri, melainkan kolaborasi antara tim infrastruktur dan keamanan. Dalam mengadopsi arsitektur cloud-native, tim pengembangan dan keamanan harus mengambil pendekatan baru untuk mengembangkan dan mengamankan beban kerja. Dalam praktiknya, ini berarti kontrol keamanan harus dibangun lebih awal ke dalam arsitektur untuk mengurangi permukaan serangan. Tim keamanan juga harus mempertimbangkan banyaknya ancaman yang mungkin muncul selama runtime dan bekerja untuk menerapkan kontrol mitigasi jika terjadi pelanggaran keamanan. Hal ini memungkinkan tim untuk menggabungkan pencegahan dan mitigasi risiko dengan deteksi ancaman.
BN: Bagaimana zero trust menjadi bagian penting dari pendekatan holistik ini?
RT: Mengingat ukuran permukaan serangan aplikasi cloud-native, pendekatan keamanan yang hanya berfokus pada kerentanan dan deteksi ancaman tidak praktis dan tidak efisien. Sebaliknya, menggabungkan prinsip-prinsip zero-trust untuk mengurangi permukaan serangan membantu secara aktif mencegah terjadinya pelanggaran, serta membatasi dampak ketika pelanggaran terjadi.
Aplikasi cloud-native yang berjalan di Kubernetes sangat rentan terhadap penyebaran malware karena sifat jaringan klaster yang terbuka; dengan desain, setiap pod dapat terhubung ke pod lain, bahkan di seluruh ruang nama. Sulit untuk mendeteksi malware atau penyebarannya di dalam kluster Kubernetes tanpa menerapkan model keamanan seperti zero trust. Dengan pendekatan tanpa kepercayaan, tim dapat meminimalkan radius ledakan dari setiap potensi gangguan dengan hanya mengizinkan komunikasi antar pod saat dan saat benar-benar diperlukan.
BN: Apa saja tantangan keamanan cloud-native saat ini dan bagaimana cara mengatasinya dengan pendekatan holistik baru ini?
RT: Kecepatan pipeline CI/CD dan munculnya aplikasi cloud-native, container, dan Kubernet memperkenalkan proses, kebijakan, dan fundamental baru untuk pengembangan dan penerapan aplikasi yang ada.
Sebelum aplikasi cloud-native dalam wadah dan Kubernetes, tim DevOps akan membuat aplikasi, membuat gambar, dapat dieksekusi atau penginstal, dan menyerahkannya ke tim keamanan. Tim keamanan kemudian akan meninjau kode untuk kerentanan, memutuskan server mana yang akan digunakan, dan membuat perimeter di sekitar lingkungan. Setelah izin manual tersedia, aplikasi akan diterapkan. Namun, dengan otomatisasi pipa CI/CD, peran tim keamanan telah berubah.
Pendekatan holistik untuk keamanan dan observasi yang optimal di lingkungan cloud-native mendorong kolaborasi aktif antara tim keamanan dan DevOps. Tim keamanan dan DevOps harus bekerja sama untuk memastikan bahwa keamanan dibangun di awal proses pembangunan, bukan sebagai renungan. Bersama-sama, keamanan dan DevOps berkolaborasi untuk menghadirkan keamanan pada beban kerja, memperkenalkan kontrol kompensasi, dan melacak gambar hingga waktu proses. Dalam melakukan ini secara kolaboratif, tim keamanan akan dapat mendeteksi kerentanan apa pun sebelum terlambat, dan tim DevOps akan dapat melakukan penyesuaian yang diperlukan untuk pengembangan di masa mendatang berdasarkan umpan balik yang diberikan oleh tim keamanan.
BN: Apa implikasi keamanan dari peningkatan inovasi dan adopsi aplikasi cloud-native? Bagaimana organisasi dapat mengatasi celah keamanan yang diciptakan oleh peningkatan inovasi?
RT: Sifat terbuka dari jaringan klaster merupakan keuntungan yang mendukung pengadopsiannya dan kerentanan yang harus dipertimbangkan di seluruh saluran CI/CD. Adopsi yang cepat dari arsitektur cloud-native menyebabkan peningkatan pelanggaran, karena banyak perusahaan tidak sepenuhnya memahami perbedaan yang melekat antara arsitektur cloud-native dan tradisional — seseorang tidak dapat begitu saja dipindahkan ke yang lain tanpa perubahan signifikan dalam desain, proses, dan kebijakan. Secara umum dipahami bahwa peningkatan inovasi memperkenalkan lebih banyak tantangan tak terduga. Jika bergerak cepat dan merusak sesuatu kedengarannya tidak enak, maka saya punya kabar baik: cara yang tepat untuk memastikan keamanan arsitektur cloud-native adalah dengan bersikap proaktif.
Kerentanan dari semua jenis meningkat pada tingkat eksponensial. Suatu perusahaan dapat mempekerjakan setiap tim keamanan yang kompeten di bawah matahari, tetapi mereka masih rentan jika mereka hanya menangani masalah setelah mereka diketahui. Sebaliknya, tim keamanan harus merancang arsitektur mereka dengan asumsi bahwa mereka akan dilanggar. Dengan pemahaman ini, tim dapat mulai menyusun strategi bagaimana meminimalkan dampak dari pelanggaran tersebut. Ini berarti menerapkan pendekatan tanpa kepercayaan untuk mengurangi radius ledakan dan menahan penyebaran dari titik masuk yang rentan. Ini juga berarti bahwa tim keamanan dan pengembangan harus berkolaborasi untuk memprioritaskan kerentanan yang akan memiliki dampak terbesar dan memperkenalkan kontrol kompensasi tingkat beban kerja untuk mengatasi kerentanan yang hanya menimbulkan ancaman kecil. Strategi ini memungkinkan tim keamanan untuk memfokuskan upaya mereka di mana mereka akan memiliki dampak paling besar dan memungkinkan perusahaan melakukan lebih banyak hal dengan lebih sedikit.
BN: Apa itu Tigera? Apa itu Proyek Calico dan bagaimana perkembangannya?
RT: Kisah Tigera dimulai enam tahun lalu dengan Project Calico, sebuah proyek jaringan dan keamanan sumber terbuka dengan pengembangan aktif dan komunitas pengguna. Calico Open Source lahir dari proyek ini dan telah berkembang menjadi solusi yang paling banyak diadopsi untuk jaringan dan keamanan untuk kontainer dan Kubernetes, yang memberdayakan 2 juta+ node setiap hari di 166 negara.
Saat adopsi container dan Kubernetes tumbuh dan organisasi mulai menggunakan Kubernetes dalam skala besar, mereka mulai menghadapi persyaratan yang lebih canggih untuk keteramatan dan keamanan. Tigera menanggapi kebutuhan ini dengan mengembangkan Calico Open Source untuk menciptakan satu-satunya Platform Perlindungan Aplikasi Cloud-Native (CNAPP) yang aktif di industri dengan kemampuan observasi full-stack, tersedia sebagai SaaS yang dikelola sepenuhnya (Calico Cloud) atau layanan yang dikelola sendiri (Calico Perusahaan).
Tigera didirikan oleh tim teknik Project Calico yang asli. Kami berkomitmen untuk mempertahankan Calico Open Source sebagai standar terdepan untuk wadah dan jaringan dan keamanan Kubernetes, sementara juga menawarkan kemampuan pengamatan dan keamanan full-stack asli Kubernetes kepada pengguna komersial yang mencari cloud terkelola bayar sesuai penggunaan layanan atau platform lokal yang dikelola sendiri.
Kredit gambar: jirsak / depositphotos.com
