Geekly articles weekly

Perlindungan Data Cloud: Panduan untuk Pengembang

Platform Azure telah dirancang untuk memberikan keamanan dan memenuhi semua persyaratan pengembang. Pelajari cara menggunakan layanan bawaan untuk menyimpan data aplikasi dengan aman sehingga hanya layanan dan klien yang berwenang yang mengakses data ini.



Pendahuluan


Keamanan adalah salah satu aspek terpenting dari arsitektur apa pun. Melindungi data bisnis dan pelanggan sangat penting. Kebocoran data dapat merusak reputasi perusahaan dan menyebabkan kerusakan finansial yang signifikan. Dalam modul ini, kita akan membahas masalah keamanan arsitektur dasar ketika mengembangkan lingkungan cloud.

Dengan menjelajahi pengembangan solusi cloud yang menjadi prioritas keamanan, kita akan melihat bagaimana satu pengguna Azure fiktif menggunakan prinsip-prinsip ini dalam praktiknya.

Lamna Healthcare adalah penyedia layanan kesehatan nasional. Departemen TI-nya baru-baru ini mulai memindahkan sebagian besar sistem TI-nya ke Azure. Organisasi menggunakan aplikasi sendiri, aplikasi open source dan aplikasi standar dengan berbagai arsitektur dan platform teknologi. Kita akan belajar apa yang perlu dilakukan untuk mentransfer sistem dan data ke cloud tanpa mengorbankan keamanan.

Catatan

Meskipun konsep yang dibahas dalam modul ini tidak lengkap, mereka memasukkan beberapa konsep penting yang terkait dengan menciptakan solusi di cloud. Microsoft menerbitkan beragam templat, panduan, dan contoh untuk mengembangkan aplikasi pada platform Azure. Sangat disarankan agar Anda meninjau konten di Pusat Arsitektur Azure sebelum merencanakan dan merancang arsitektur Anda.

Tujuan Pembelajaran


Dalam modul ini Anda akan belajar cara melakukan tugas-tugas berikut:

  • Pelajari cara menggunakan perlindungan mendalam untuk mengamankan arsitektur Anda.
  • Pelajari cara melindungi identitas.
  • Cari tahu teknologi apa yang tersedia untuk melindungi infrastruktur Azure Anda.
  • Cari tahu bagaimana dan di mana menggunakan enkripsi untuk melindungi data Anda.
  • Pelajari cara melindungi arsitektur tingkat jaringan.
  • Pelajari cara menggunakan panduan keamanan aplikasi untuk mengintegrasikan langkah-langkah keamanan dalam aplikasi Anda.

Perlindungan kedalaman


Tidak ada obat untuk semua ancaman dan satu solusi untuk semua masalah. Misalkan Lamna Healthcare kehilangan pandangan akan keamanan. Menjadi jelas bahwa area ini harus difokuskan. Pegawai Lamna tidak tahu harus mulai dari mana, dan apakah mungkin untuk membeli solusi untuk memastikan lingkungan yang aman. Mereka yakin bahwa mereka membutuhkan pendekatan holistik, tetapi tidak menyadari apa itu. Di sini, kami akan membahas secara terperinci konsep-konsep utama perlindungan mendalam, mengidentifikasi teknologi dan pendekatan keamanan utama untuk mendukung kedalaman strategi pertahanan, dan berbicara tentang bagaimana menggunakan konsep-konsep ini dalam mengembangkan arsitektur layanan Azure Anda.

Pendekatan Keamanan Layered


Pertahanan mendalam adalah strategi yang menggunakan sejumlah mekanisme untuk memperlambat serangan yang bertujuan untuk mendapatkan akses tidak sah ke informasi. Setiap level memberikan perlindungan, jadi jika seorang penyerang mengalahkan satu level, level berikutnya akan mencegah penetrasi lebih lanjut. Microsoft mengambil pendekatan berjenjang untuk keamanan di pusat data fisik dan layanan Azure. Tujuan dari perlindungan mendalam adalah untuk memastikan keamanan informasi dan mencegah pencurian data oleh orang-orang yang tidak memiliki izin untuk mengaksesnya. Prinsip umum yang digunakan untuk menentukan status keamanan adalah kerahasiaan, integritas, dan ketersediaan, umumnya dikenal sebagai CIA (kerahasiaan, integritas, ketersediaan).

  • Kerahasiaan adalah prinsip hak minimum. Akses ke informasi hanya tersedia bagi orang yang secara eksplisit diberikan izin. Informasi ini mencakup perlindungan kata sandi pengguna, sertifikat akses jarak jauh, dan konten pesan email.
  • Integritas - Pencegahan perubahan yang tidak sah ke data tidak aktif atau dikirim. Pendekatan umum yang digunakan dalam transfer data adalah bahwa sidik jari unik dibuat untuk pengirim menggunakan algoritma hash satu arah. Hash dikirim ke penerima bersama dengan data. Hash data dihitung ulang dan dibandingkan oleh penerima dengan yang asli sehingga data tidak hilang dan belum mengalami perubahan selama transfer.
  • Ketersediaan - Memastikan bahwa layanan tersedia untuk pengguna yang berwenang. Serangan penolakan layanan adalah penyebab paling umum hilangnya aksesibilitas pengguna. Selain itu, jika terjadi bencana alam, sistem dirancang untuk menghindari satu titik kegagalan dan menyebarkan beberapa contoh aplikasi di lokasi yang secara geografis terpencil.

Tingkat keamanan


Perlindungan kedalaman dapat direpresentasikan sebagai beberapa cincin konsentris, di tengahnya adalah data. Setiap dering menambahkan lapisan keamanan tambahan di sekitar data. Pendekatan ini menghilangkan ketergantungan pada satu tingkat perlindungan, memperlambat serangan dan memberikan peringatan dengan data telemetri sehingga Anda dapat mengambil tindakan - secara manual atau otomatis. Mari kita lihat masing-masing level.



Data


Hampir selalu, penyerang mencari data:

  • yang disimpan dalam database;
  • yang disimpan pada disk di mesin virtual;
  • yang disimpan dalam aplikasi SaaS seperti Office 365;
  • yang disimpan dalam penyimpanan cloud.

Mereka yang bertanggung jawab untuk penyimpanan data dan kontrol akses diharuskan untuk memberikan perlindungan yang memadai. Persyaratan peraturan seringkali memerlukan kontrol dan prosedur khusus untuk memastikan kerahasiaan, integritas, dan aksesibilitas data.

Aplikasi


  • Pastikan aplikasi terlindungi dan bebas dari kerentanan.
  • Simpan rahasia aplikasi rahasia di media yang aman
  • Jadikan keamanan sebagai persyaratan untuk semua aplikasi.

Dengan mengintegrasikan keamanan ke dalam siklus hidup pengembangan aplikasi, Anda dapat mengurangi jumlah kerentanan dalam kode. Dorong semua tim pengembangan untuk memastikan keamanan aplikasi secara default. Persyaratan keamanan harus tidak berubah.

Layanan Komputasi


  • Lindungi akses ke mesin virtual
  • Terapkan perlindungan titik akhir dan terapkan semua perbaikan tepat waktu

Program jahat, kurangnya tambalan dan perlindungan sistem yang tidak memadai membuat lingkungan Anda rentan terhadap serangan. Level ini dirancang untuk memastikan keamanan sumber daya komputasi Anda, dan Anda memiliki kontrol yang tepat untuk meminimalkan masalah keamanan.

Jaringan


  • Batasi interaksi antara sumber daya melalui segmentasi dan kontrol akses
  • Tetapkan larangan standar
  • Batasi lalu lintas internet masuk dan keluar jika memungkinkan
  • Terhubung dengan aman ke jaringan lokal

Tujuan tingkat ini adalah membatasi koneksi jaringan dalam sumber daya dan hanya menggunakan koneksi yang paling diperlukan. Pisahkan sumber daya dan gunakan kontrol tingkat jaringan untuk membatasi komunikasi hanya antara komponen yang diperlukan. Dengan membatasi pertukaran data, Anda mengurangi risiko bergerak di sekitar komputer di jaringan Anda.

Perimeter


  • Gunakan perlindungan denial of service (DDoS) terdistribusi untuk menyaring serangan skala besar sebelum mengarah ke penolakan layanan untuk pengguna akhir
  • Gunakan firewall perimeter untuk mendeteksi peringatan jaringan dan menerima peringatan

Sepanjang perimeter jaringan, perlindungan terhadap serangan jaringan terhadap sumber daya diperlukan. Mengidentifikasi serangan seperti itu, menghilangkan dampaknya dan mengingatkan mereka adalah elemen penting dari keamanan jaringan.

Kebijakan dan Akses


  • Kelola akses ke infrastruktur, kelola perubahan
  • Gunakan otentikasi sistem masuk tunggal dan multi-faktor
  • Periksa acara dan perubahan

Tingkat kebijakan dan akses ditujukan untuk memastikan keamanan identitas, mengendalikan penyediaan akses hanya untuk orang yang membutuhkannya, serta mendaftarkan perubahan.

Keamanan fisik


  • Memastikan keamanan fisik bangunan dan mengontrol akses ke peralatan komputasi di pusat data adalah garis pertahanan pertama.

Keamanan fisik mencakup langkah-langkah untuk membatasi akses fisik ke sumber daya. Ini memastikan bahwa penyerang tidak mengatasi sisa level, dan melindungi data dari kehilangan dan pencurian.

Setiap lapisan dapat melakukan satu atau beberapa tugas sesuai dengan model Confidentiality, Integrity, dan Access.



Tanggung jawab bersama


Lingkungan komputasi bergerak dari pusat data yang dikelola pelanggan ke pusat data berbasis cloud, dan tanggung jawab bergeser bersama mereka. Keamanan sekarang menjadi tanggung jawab bersama antara penyedia dan pelanggan layanan cloud.



Perbaikan terus menerus


Gambaran ancaman berubah secara real time dan dalam skala besar, sehingga arsitektur keamanan tidak pernah sempurna. Microsoft dan pelanggan kami membutuhkan kemampuan untuk merespons ancaman ini secara cerdas, cepat dan tepat sasaran.

Azure Security Center memberi pelanggan kemampuan manajemen keamanan terpadu dan perlindungan ancaman tingkat lanjut untuk mengenali dan merespons peristiwa keamanan di lingkungan lokal dan di Azure. Pada gilirannya, pelanggan Azure harus terus-menerus meninjau dan mengembangkan arsitektur keamanan mereka.

Perlindungan Kedalaman di Lamna Healthcare


Lamna Healthcare telah secara aktif menyebarkan perlindungan mendalam di semua departemen TI. Karena rumah sakit bertanggung jawab atas sejumlah besar data medis rahasia, organisasi memahami bahwa pendekatan terpadu akan menjadi pilihan terbaik.

Untuk melindungi data perusahaan, kelompok kerja virtual telah dibuat di perusahaan, yang terdiri dari perwakilan dari setiap departemen TI dan departemen keamanan. Tugas kelompok adalah membiasakan para insinyur dan arsitek dengan kerentanan dan metode untuk penghapusan mereka, serta memberikan dukungan informasi untuk bekerja dengan proyek-proyek dalam organisasi.

Secara alami, pekerjaan ini tidak akan pernah dilakukan sampai akhir. Oleh karena itu, untuk mempertahankan tingkat perlindungan yang diperlukan, perusahaan berencana untuk secara teratur meninjau kebijakan, prosedur, aspek teknis, dan arsitektur dalam pencarian konstan untuk cara-cara meningkatkan keamanan.

Ringkasan


Kami memeriksa apa pertahanan mendalam, level apa yang dimilikinya dan apa tugas masing-masing level. Strategi keamanan dalam arsitektur seperti itu menjamin pendekatan terpadu untuk melindungi seluruh lingkungan, daripada satu tingkat atau teknologi.

Bagian selanjutnya


Untuk menyelesaikan pelatihan gratis ini, ikuti tautannya . Di sana Anda akan menemukan bagian-bagian ini:

  • Pendahuluan
  • Perlindungan kedalaman
  • Manajemen identitas
  • Perlindungan infrastruktur
  • Enkripsi
  • Keamanan jaringan
  • Ringkasan
  • Lima fitur keamanan utama untuk dipertimbangkan sebelum digunakan.
  • Kelola rahasia dalam aplikasi server dengan Azure Key Vault
  • Mengamankan Sumber Daya Azure dengan Akses Bersyarat

Source: https://habr.com/ru/post/id428447/

More articles:


All Articles