Peran jaring layanan dalam keamanan aplikasi [Q&A]

Saat organisasi merangkul pengembangan cloud-native, mereka membangun jenis aplikasi dan layanan mikro baru yang lebih mudah untuk diskalakan dan menambah lebih banyak nilai bisnis.

Tetapi adopsi layanan mikro yang berkembang telah menimbulkan risiko keamanan baru karena layanan mikro dan aplikasi modern mengandung lebih banyak ‘bagian’ yang meningkatkan permukaan serangan.

Teknologi mesh layanan Istio open source dan mesh layanan ambien Istio telah digunakan untuk mengelola dan mengoordinasikan layanan mikro bervolume tinggi, dengan memfasilitasi komunikasi layanan-ke-layanan melalui jaringan. Jala layanan juga dapat digunakan untuk mengamankan layanan mikro yang sama.

Di dunia di mana batasan tradisional menghilang dan organisasi mencari strategi pertahanan baru untuk menghadapi ancaman, kami berbicara dengan Idit Levine, CEO dan pendiri Solo.io, untuk mencari tahu mengapa jaring layanan bisa menjadi jawabannya.

BN: Bagaimana upaya transformasi digital perusahaan memengaruhi keamanan siber?

IL: Intinya di sini adalah bahwa setiap kali organisasi besar mendigitalkan operasi mereka dan memigrasikan aplikasi ke cloud, mereka meningkatkan keterpaparan terhadap ancaman. Tim IT, DevOps, dan SecOps terus-menerus berusaha untuk selangkah lebih maju dari potensi peretas, penyerang, dan pelaku ancaman. Perimeter keamanan tradisional telah menghilang, permukaan serangan terus berkembang, dan vektor serangan baru terus bermunculan.

Munculnya teknologi dan layanan mikro modern cloud-native telah menghilangkan perimeter. Belum lama ini, sebuah perimeter memisahkan aset perusahaan dari dunia luar. Saat ini, organisasi tunduk pada ancaman eksternal dan internal, dengan penjahat dunia maya memanfaatkan semakin banyaknya sumber daya yang terbuka dan berpotensi rentan di seluruh infrastruktur mereka. Terutama saat Anda berurusan dengan tenaga kerja jarak jauh yang besar dan tersebar, semuanya menggunakan platform cloud untuk mengakses aplikasi, sistem, dan data perusahaan.

Intinya adalah, tidak ada ‘peluru perak’, tidak ada perisai pelindung tunggal yang dapat Anda gunakan untuk melindungi seluruh organisasi. Ancaman menjadi lebih kompleks, dengan pelanggaran terjadi berbulan-bulan bahkan sebelum ancaman terdeteksi. Dengan demikian, organisasi terus mengadopsi jenis solusi baru untuk mengurangi permukaan serangan mereka, dan meningkatkan postur keamanan mereka untuk menghadapi serangan Denial-of-service (DDOS), serbuan ransomware, dan pelanggaran data.

BN: Apa peran jaring layanan dalam memperkuat keamanan?

IL: Service mesh adalah kerangka kerja jaringan aplikasi yang mendukung arsitektur layanan mikro, memfasilitasi komunikasi antara setiap layanan, bersama dengan pemantauan dan manajemen lalu lintas aplikasi.

Melalui peningkatan lalu lintas di jaringan, arsitektur layanan mikro membawa risiko yang sangat spesifik — perlu diingat bahwa aplikasi terdistribusi mungkin berisi banyak bagian, dibandingkan dengan aplikasi sebelumnya yang hanya memiliki satu. Ada juga lebih banyak perubahan yang sering dilakukan pada aplikasi ini. Selanjutnya, organisasi diharuskan untuk mengamankan setiap elemen ini dan mengizinkan akses ke tim pengembang yang mengerjakan berbagai aplikasi yang mereka dukung. Sekarang, meskipun ini terdengar seperti proses yang rumit dan rumit untuk dikelola, ini dapat dengan mudah ditangani oleh teknologi jaring layanan.

Teknologi mesh layanan memberikan konektivitas, keamanan, kemampuan observasi, dan keandalan untuk jaringan; ini dilakukan di lapisan platform, bukan di lapisan aplikasi. Dengan demikian, ini juga memungkinkan kontrol atas pertumbuhan lalu lintas jaringan, memberdayakan organisasi untuk mengelola dan mengamankan setiap elemen layanan mikro.

BN: Bisakah jaring layanan mendukung inisiatif tanpa kepercayaan?

IL: Jawaban singkatnya adalah: ya, benar! Ringkasnya, zero-trust memungkinkan organisasi memvalidasi setiap perangkat, setiap transaksi, setiap saat. Itulah mengapa sangat cocok untuk lingkungan aplikasi cloud-native yang bergerak cepat dan kompleks. Zerotrust dan service mesh benar-benar berjalan beriringan. Mereka adalah teknologi pelengkap yang ideal untuk lingkungan terkontainer yang memungkinkan pengembang menerapkan aplikasi lebih cepat dan lebih aman. Misalnya, mesh layanan Istio sudah menjadi mesh layanan de facto di lingkungan Kubernetes. Tentu saja, arsitektur layanan mikro dapat terdiri dari ratusan, bahkan ribuan komponen, yang terus diperbarui oleh tim pengembang dan pengguna lain. Ketika zero-trust diimplementasikan dalam lingkungan jaring layanan, ia dapat secara aktif memantau dan memfasilitasi akses terbatas dan ‘tepercaya’ dalam skala besar.

Ini membantu mengotentikasi dan memvalidasi secara kriptografis dan mengotorisasi orang, perangkat, dan persona. Ini dapat digunakan untuk menegakkan kebijakan dan mengidentifikasi potensi ancaman. Itu dapat menguraikan pola lalu lintas yang disetujui, bersama dengan aturan tentang siapa yang diizinkan untuk terlibat dengan apa. Misalnya, jika pengembang melebihi batas lalu lintas tertentu atau memiliki akses ke database pribadi, koneksi tersebut dapat segera dimatikan. Zero-trust menambahkan kontrol keamanan komprehensif ke mesh layanan dan gateway API untuk mengamankan layanan mikro dan lingkungan terkontainer, secara dramatis meningkatkan kondisi keamanan Anda.

BN: Apakah keamanan terganggu jika Anda memilih arsitektur ‘tanpa mobil’?

IL: Ini mengacu pada Istio ambient mesh, yang merupakan inovasi yang lebih baru. Pada dasarnya, mesh layanan menyederhanakan komunikasi antar-layanan dalam arsitektur berbasis kontainer dan layanan mikro. Ini membuatnya lebih mudah untuk mendiagnosis kesalahan komunikasi apa pun yang mungkin terjadi pada lapisan infrastruktur. Secara keseluruhan, proses ini mempercepat pengembangan, pengujian, dan penyebaran aplikasi.

Jaring layanan Istio biasanya diterapkan bersama kode aplikasi dalam wadah sespan, yang mengarahkan lalu lintas dan memantau interaksi antar komponen. Ini kompatibel dengan Kubernetes dan membantu menghadirkan lingkungan kemas berbasis layanan mikro yang berjalan lancar.

Istio ambient mesh adalah opsi bidang data tanpa sekat untuk mesh layanan Istio. Ini menawarkan pengalaman yang lebih transparan dengan dukungan aplikasi yang lebih luas. Ini memberikan penghematan biaya, peningkatan kinerja, dan peningkatan keamanan dengan mempertahankan keamanan tanpa kepercayaan dan penegakan kebijakan. Ini memungkinkan Anda menerapkan arsitektur tanpa kepercayaan pada lapisan jaringan untuk memberikan akses ke tim DevOps, CloudOps, dan SRE yang berlaku, jika diperlukan. Ini berarti keamanan tidak terganggu sama sekali; sebenarnya bisa ditingkatkan. Keuntungan dari mesh ambien Istio adalah dapat digunakan sebagai infrastruktur mesh bersama di seluruh standar Istio dan arsitektur mesh ambien Istio, memberikan skala dan fleksibilitas yang lebih besar.

BN: Peran apa yang Anda lihat untuk Istio dan open source di jaringan keamanan?

IL: Kami adalah pendukung besar Istio dan kami akan terus berkontribusi pada pengembangan mesh layanan Istio dan mesh ambien Istio. Ini akan mencakup fokus pada pengujian keamanan dan kinerja.

Kami selalu tertarik dengan kolaborasi di masa mendatang dan menerima umpan balik dari komunitas Istio tentang bagaimana kami dapat terus melakukan peningkatan. Ketika Anda mempertimbangkan banyak fitur keamanan yang ditawarkan oleh jaring layanan saat ini, seperti penegakan kebijakan berbasis aturan, autentikasi pengguna dan mesin yang fleksibel, serta kebijakan tanpa kepercayaan, Anda tidak bisa tidak bersemangat tentang apa yang akan terjadi di masa depan!

Kredit gambar: Funtap/depositphotos.com