Benang Merah Dari Beberapa Kasus Kebocoran Data di Amazon S3

Benang Merah Dari Beberapa Kasus Kebocoran Data di Amazon S3

Kasus Kebocoran data di Dow Jones, dan Verizon, menunjukkan bahwa perusahaan melewatkan praktik-praktik keamanan. Hal ini terjadi karena mereka tergesa-gesa untuk segera berhasil ‘menggapai’ cloud.

Sebuah kebocoran data terbaru di Dow Jones mengungkapkan data termasuk nama, alamat, dan nomor kartu kredit parsial dari jutaan pelanggan. Kejadian ini berdasar sebuah laporan dari UpGuard. Alasan bocornya? Dow Jones hanya memilih pengaturan izin yang salah untuk repositori data S3 Amazon Web Services (AWS).

Perlombaan ke Cloud

Dengan mengkonfigurasi pengaturan seperti itu, Dow Jones memberi akses pengguna AWS ke data sensitif tersebut. Meskipun hal ini tampak seperti pengawasan yang mudah ditangkap oleh admin, kesalahan akal sehat merajalela di kalangan perusahaan besar yang berlomba memindahkan data mereka ke cloud.

Pada bulan Juli 2017, Verizon mengkonfirmasi kebocoran data dari sekitar 6 juta pelanggan. Kebocoran tersebut disebabkan oleh pengaturan keamanan yang kurang tepat di repositori S3. Selain itu, GOP mencatat kebocoran data pribadi dari hampir 200 juta orang Amerika, yang disebut “terbesar yang pernah ada” dalam kebocoran data, juga disebabkan oleh keamanan S3 yang buruk.

Benang Merah Dari Beberapa Kasus Kebocoran Data S3

Jadi, apa yang terjadi? Apakah AWS disalahkan atas semua pelanggaran yang mempengaruhi S3 ini? Singkatnya, jawabannya adalah tidak. Dalam upaya untuk bergerak cepat ke cloud, memperoleh keunggulan kompetitif yang dijanjikan di dalamnya, banyak organisasi mengabaikan langkah-langkah kunci dalam mengamankan data cloud mereka.

Direktur senior pertahanan cyber lanjutan di RSA – Peter Tran – mengatakan bahwa keamanan cloud berada dalam “keadaan transisi yang halus,”. Dengan gelombang migrasi cloud besar terjadi dalam satu tahun terakhir. Selain itu, keinginan untuk beralih ke cloud secepat mungkin didorong oleh organisasi yang ingin melepaskan diri dari infrastruktur warisan lama dan memanfaatkan fleksibilitas dari cloud.

Dan kecepatan gerakan “cloud pertama” telah menyebabkan celah keamanan, khususnya mengenai manajemen identitas dan kontrol akses, kata Tran.

Kelemahan dalam keamanan cloud terjadi ketika risiko bisnis tidak selaras dengan risiko teknologi dan ada titik-titik buta dalam perancangan, pemasangan, penerapan, tata kelola, kebijakan dan kepatuhan. “Jika mengendarai pesawat tanpa jendela atau instrumen kesalahan bisa terjadi” kata Tran.

Ketika menyangkut keamanan data perusahaan, batas kesalahan sangat tipis. Tapi, itu bahkan lebih kecil lagi jika menyangkut keamanan cloud, Tran mencatat. Jika Anda melewati batasan itu walau sediki, hasilnya bisa menjadi bencana besar.

Keamanan Cloud

Menurut Rob Enns, wakil presiden teknik untuk Bracket Computing, prevalensi pelanggaran S3 menyoroti fakta bahwa organisasi harus memiliki keamanan cloud mereka. Mereka dapat melakukan outsourcing manajemen cloud untuk mendapatkan pengalaman para ahli di bidang ini, terutama yang terbiasa menangani lingkungan data center hybrid.

“Arsitektur keamanan perusahaan harus diperluas untuk mencakup layanan cloud selain data center lokal,” kata Enns. “Untuk mengelola kompleksitas di lingkungan baru ini, konsistensi dari data center lokal ke cloud (dan di seluruh penyedia layanan cloud) memungkinkan TI untuk mempertahankan kontrol keamanan informasi. Hal ini memberi arsitek dan pengembang aplikasi sebuah basis. Dengan cara tersebut, mereka dapat bergerak cepat sambil tetap mematuhi persyaratan keamanan perusahaan. ”

Ketika mempertimbangkan penyedia penyimpanan cloud publik, Tran mengatakan, bisnis harus melihat baik Service Letter Objective (SLO) dan Service Letter Agreement (SLA). Ini berguna untuk menentukan tingkat risiko yang akan mereka tanggung, karena mereka menangani masalah yang berbeda. Terkadang, risikonya terlalu banyak untuk ditinggalkan.

Kasus kebocoran data tersebut dapat kita ambil menjadi pelajaran yang sangat berguna. Dengan arsitektur hybrid data center yang jelas, kasus kebocoran data tersebut dapat terhindarkan.