Mencapai keseimbangan yang tepat antara pembangunan dan keamanan [Q&A]

Mencapai keseimbangan yang tepat antara pembangunan dan keamanan [Q&A]

timbangan tipping

Pengembang memerlukan akses ke banyak perangkat dan layanan internal untuk membangun perangkat lunak. Tetapi banyak dari perangkat dan layanan ini terekspos ke web publik, menciptakan celah keamanan.

Tambahkan tantangan untuk mengamankan kerja jarak jauh dan jelas bahwa ada tindakan penyeimbangan yang rumit yang diperlukan untuk mengaktifkan pengembangan sekaligus menjaga keamanan organisasi. Kami berbicara dengan Avery Pennarun, CEO dan salah satu pendiri layanan VPN Tailscale, untuk mengetahui bagaimana hal ini dapat dicapai.

BN: Mengapa keamanan menjadi masalah bagi pengembang?

AP: Sebagian besar startup payah dalam keamanan karena mereka berusaha menyelesaikan sesuatu dengan cepat, dan sampai saat ini ada trade-off — terutama untuk developer — antara jalur yang mudah dan yang aman. Jalan yang paling tidak tahan adalah menjalankan lingkungan pengembang di AWS, membuka port firewall, dan berharap tidak ada yang menemukannya. Berapa banyak mantan karyawan yang masih memiliki akses ke GitHub startup Anda? Berapa banyak pengembang yang secara tidak sengaja membiarkan port terbuka? Ini seperti undangan terbuka untuk peretas.

Tailscale telah melihat adopsi viral oleh pengembang selama beberapa tahun terakhir karena itu membuat cara termudah bagi pengembang untuk beroperasi juga paling aman. Untuk sekali tim keamanan dan teknik dapat berada di halaman yang sama. Tidak harus ada trade-off.

BN: Apakah titik buta keamanan ini menjadi masalah yang lebih besar karena pekerjaan jarak jauh?

AP: Shadow IT sudah ada di mana-mana selama pandemi. Sebagian besar perusahaan masih memiliki titik buta konektivitas karena tidak ada risiko yang sama saat semua orang berada di kantor bersama.

Jika pengembang ingin berbagi sesuatu dengan kolega, tidak masalah jika kami berdua berada di kantor yang sama di jaringan pribadi yang sama. Tapi jika kita berdua duduk di rumah, tidak ada cara untuk melakukannya dengan aman. Saya harus menjalankan lingkungan dev dan membuka port di cloud.

Solusi semacam ini adalah sumber dari sejumlah besar risiko keamanan. Kami telah mengatasi masalah ini dengan memberi pengembang kemampuan untuk membuat jaringan skala kecil, dengan perlindungan yang jelas tentang apa yang dapat terhubung ke apa, jadi lebih aman membiarkan karyawan menggunakan perangkat pribadi mereka.

BN: Bagaimana penerapan jaringan pribadi yang lebih kecil berkontribusi pada misi yang lebih besar?

AP: Rekan pendiri saya dan saya bersama-sama menghabiskan beberapa dekade di Google tempat kami membuat produk untuk skala global. Tapi inilah masalahnya: sebagian besar waktu, alat Anda hanya perlu dapat dijangkau dari jaringan kecil perangkat klien. Sebagian besar waktu Anda tidak perlu menulis atau menggunakan perangkat lunak untuk miliaran pengguna.

Bayangkan jika semua komunikasi Anda dengan teman, keluarga, dan kolega terjadi di Twitter publik. Itu gila, bukan? Twitter tentu memiliki tujuan, tetapi untuk sebagian besar percakapan Anda, Anda tidak membutuhkannya — obrolan teman WhatsApp atau tim Slack Anda jauh lebih cocok untuk tugas tersebut, dan tidak ada penyerang dan spammer yang bergabung dalam percakapan Anda.

Namun, cara kita menggunakan Internet saat ini seperti mengandalkan Twitter untuk semua komunikasi — kita menggunakannya untuk melakukan banyak hal yang tidak perlu dilakukan. Semua perangkat kami terhubung melalui Internet publik secara default. Setiap aplikasi atau perangkat lunak yang melibatkan interaksi antar manusia harus membangun semua infrastruktur itu untuk mengelola interaksi sosial di Internet publik, dan pengembang membuat kesalahan.

Jika Anda mengecilkan ukuran internet menjadi sekelompok kecil orang yang Anda percayai, akan jauh lebih mudah untuk menulis perangkat lunak dan menyelesaikan yang lainnya, karena hampir semua penyerang tidak ada di sana.

Bayangkan memiliki grup Whatsapp untuk sebagian besar tugas yang perlu Anda lakukan sehari-hari — itulah yang dilakukan Tailscale. Kami memungkinkan pengembang untuk langsung berbagi alat atau aset apa pun dengan sekelompok orang yang ingin Anda bagikan , tanpa ditengahi oleh layanan cloud yang kompleks dan lusinan aplikasi berbeda (yang masing-masing menghadirkan risiko keamanannya sendiri). Dan Anda tidak perlu membangun autentikasi dan enkripsi ke dalam setiap alat baru.

BN: Pengembang dan tim keamanan secara historis memiliki tantangan penyelarasan. Apakah jaringan pribadi memungkinkan komunikasi yang lebih baik untuk membangun keamanan di awal proses?

AP: Pasti. Lelucon tentang tim keamanan adalah tugas mereka adalah menghentikan Anda melakukan pekerjaan Anda. Apa yang bagus tentang Tailscale adalah memudahkan pengembang untuk melakukan apa yang ingin mereka lakukan, tetapi juga lebih aman secara bersamaan. Jadi mereka memecahkan kedua masalah. Sekarang keamanan dapat menjadi pahlawan untuk melakukan sesuatu yang tidak hanya membuat organisasi lebih aman, tetapi juga membuat pekerjaan pengembang lebih mudah.

Secara lebih luas, saya pikir kita akan melihat pergeseran menuju akuntabilitas yang lebih besar tentang bagaimana organisasi mengatur infrastruktur mereka untuk meminimalkan dampak pelanggaran ketika hal itu pasti terjadi. Saat ini ada dinamika semua atau tidak sama sekali — kami berfokus pada apakah ada pelanggaran atau tidak, dan segera setelah ada, perusahaan angkat tangan dan berkata, “Aduh! Saya kira para peretas sudah memiliki segalanya sekarang!” dan mengirimkan pengungkapan wajib. Namun tujuannya tidak hanya untuk mencegah pelanggaran, tetapi juga membatasi dampak yang pasti terjadi terlepas dari upaya terbaik orang-orang.

Organisasi akan dinilai bukan pada apakah mereka memiliki pelanggaran keamanan, tetapi pada seberapa baik mereka memisahkan sistem mereka dan mengambil tindakan pencegahan untuk meminimalkan dampaknya. Konsumen menjadi lebih memahami hal ini — hanya karena peretas masuk ke jaringan Anda tidak berarti mereka seharusnya dapat mengakses data semua orang. Bagian terakhir itu memalukan, dan orang-orang mulai melihatnya seperti itu.

Kredit gambar: Lightspring/Shutterstock

Author: Kenneth Henderson