Mengatasi Ancaman Keamanan Cloud dengan Mengenkripsi Data In Use atau yang Sedang Digunakan

0
1392
Dok AMD

Bagaimana AMD Infinity Guard membantu mengatasi ancaman keamanan di cloud dan lingkungan virtual

Mengapa Keamanan Penting?

Komite.id – Bisnis menghadapi risiko yang terus bertambah setelah model bisnis beralih ke penyedia layanan cloud dan cloud computing untuk menangani kebutuhan sehari-hari, di mana setiap keberhasilan penutupan celah keamanan sering kali diikuti dengan penemuan dan eksploitasi celah baru. Akibatnya adalah pergeseran paradigma keamanan data, yang tidak lagi berfokus pada solusi terpusat atau cakupan “end-to-end”, melainkan perlindungan berlapis-lapis.

Data adalah target utama sebagian besar serangan cyber. Hingga baru-baru ini, tujuan sebagian besar pelaku kejahatan adalah mencuri data. Tetapi, karena sistem enkripsi telah berkembang dan dipakai secara luas, fokus kejahatan pun berubah bukan saja untuk menerobos akses ke data. Ini adalah risiko yang dihadapi organisasi mana pun, di mana para pelaku akan meminta uang tebusan dari perusahaan agar data mereka dipulihkan atau agar tidak diserang.

Untuk menjaga data perusahaan dari serangan, ada tiga tingkat yang harus dilindungi. Dua di antaranya mendapat manfaat dari teknologi yang telah terbukti dan telah diadopsi secara luas. Pertama, adalah data tidak aktif yang disimpan di hard drive Anda, di mana enkripsi hard drive dipakai untuk melindunginya. Lalu ada enkripsi in flight, melalui jaringan perusahaan dan VPN.

Namun, lapisan ketiga, yakni data in use atau yang sedang digunakan – data aktif yang disimpan dalam kondisi non-persisten (dalam RAM) – kurang mendapat perhatian. Karena ini merupakan potensi celah keamanan yang signifikan – khususnya di lingkungan virtual dan cloud – bagian ini penting untuk diawasi.

Kerentanan Di Cloud dan Lingkungan Virtual

Sudah menjadi kebiasaan orang mengasumsikan bahwa lokasi fisik penyedia cloud dan infrastruktur hyperconverged (HCI)-nya aman, oleh karena itu data yang digunakan di lingkungan tersebut juga aman.

Penyedia layanan Cloud (CSP) kerap menghabiskan banyak biaya untuk keamanan fisik dan keamanan digital kelas dunia dari infrastruktur hyperconverged (HCI) mereka. Sementara sebagian besar diskusi seputar keamanan cloud berfokus pada ancaman yang datang dari luar lingkungan dan pelanggan mereka, CSP tidak selalu dapat mengontrol ancaman yang datang dari dalam, termasuk dari karyawan yang tidak puas, dan memiliki akses fisik ke sistem.

Karena risiko pembobolan data terus meningkat, baik secara reputasi maupun finansial, dan dilakukan oleh berbagai jenis aktor jahat mulai dari individu nakal hingga kelompok yang disponsori oleh negara tertentu, maka risiko membiarkan lingkungan virtual ini tanpa perlindungan tidak lagi dapat diterima.

Sederhananya, data in use atau yang sedang digunakan, rentan terhadap serangan vektor, karena enkripsi hard drive dan in flight tidak melindunginya.

Beberapa ancaman itu bersifat fisik dan terjadi dari dalam. Misalnya, DIMM dapat dibekukan secara fisik, dengan udara bertekanan, dan kemudian dipindahkan oleh pelaku yang memiliki akses ke server untuk diekstrak nanti. Secara virtual, data yang tidak terenkripsi dapat digunakan membuka pintu bagi pelaku jahat untuk mengintip ke dalam mesin virtual (VM) dan melihat atau mengekstrak data di dalamnya.

Ada juga celah keamanan kecil namun signifikan yang memungkinkan peretas mengakses server itu sendiri, dengan meretas BIOS selama proses booting dan mengubah pengaturan atau mengambil data boot. Data boot ini mungkin tidak terlalu penting bagi sebagian besar perusahaan. Namun bagi yang lainnya – khususnya pemerintahan atau jasa keuangan – data ini tentu sensitif sehingga harus dilindungi.

Selanjutnya, saat sedang diproses di HCI CSP atau lingkungan tervirtualisasi lainnya, data in use tidak terlindungi untuk waktu yang lama. Akibatnya, hypervisor yang disusupi dapat dipakai untuk menjangkau mesin virtual (VM) guest dan mengekspos atau mengekstrak data yang seharusnya bersifat pribadi.

Komputasi Rahasia Dengan Prosesor AMD EPYC™ 

Mengenkripsi data saat sedang diproses di lingkungan virtual dapat membantu mengisolasinya dari pengguna jahat, hypervisor, bahkan administrator. Pendekatan ini, yang dikenal sebagai komputasi rahasia, dapat membantu mengurangi risiko serangan DIMM secara fisik atau serangan virtual di lingkungan HCI.

Komputasi rahasia menggunakan prosesor AMD EPYC™ dengan fitur keamanan bawaan seperti Secure Encrypted Virtualization (SEV). Sebagai bagian dari rangkaian fitur keamanan canggih AMD Infinity Guard, SEV membantu melindungi data yang sedang digunakan dengan mengenkripsi VM menggunakan teknologi enkripsi 128-bit, dengan kunci enkripsi unik yang hanya diketahui oleh AMD Secure Processor.

Ini membantu melindungi kerahasiaan data Anda bahkan jika VM jahat menemukan akses ke memori VM Anda, atau hypervisor yang disusupi menjangkau VM pengguna.

Fitur terkait selanjutnya bisa digabungkan dengan SEV untuk menciptakan perlindungan berlapis yang kuat bagi data yang sedang digunakan. Saat diaktifkan, SEV-Encrypted State (SEV-ES), membantu mencegah hypervisor melihat data yang sedang digunakan secara aktif oleh VM. Sementara SEV-Secure Nested Paging (SEV-SNP) menambahkan kemampuan perlindungan memori yang kuat untuk membantu mencegah serangan berbasis hypervisor, seperti pemutaran ulang data dan pemetaan ulang memori, untuk menciptakan lingkungan eksekusi yang aman. Sistem ini menggunakan pengesahan, yang menunjukkan bahwa VM tertentu memiliki akses tulis ke memori – sebuah fitur perlindungan penting di lingkungan virtual di mana banyak “tamu” memiliki akses ke sistem memori bersama.

AMD Infinity Guard

Enkripsi berbasis perangkat keras yang disediakan oleh AMD Infinity Guard memungkinkan peningkatan komputasi rahasia dengan sedikit dampak pada kinerja.

CPU pesaing sering mengandalkan mesin offload untuk menjalankan enkripsi sehingga dapat menimbulkan “beban kinerja” pada aplikasi. Namun, mesin AES (Advanced Encryption Standard) 128-bit AMD Infinity Guard terintegrasi ke dalam masing-masing delapan pengontrol memori dalam prosesor AMD EPYC. Dalam contoh pengujian independen dengan Principled Technologies, dilakukan perbandingan kinerja pemrosesan transaksi online dari server bertenaga prosesor AMD EPYC 7543 antara yang menggunakan AMD Secure Memory Encryption dan Secure Encrypted Virtualization-Encrypted State, dengan yang tidak memakainya. Hasilnya, penggunaan fitur keamanan ini hanya memunculkan pengurangan 1,7 persen dalam tingkat pemrosesan pesanan rata-rata server.

Selain itu, solusi pesaing dapat memaksa fitur keamanan bawaan untuk beroperasi di lingkungan memori  dalam mesin enkripsi – berpotensi hanya hingga 1TB untuk sistem 2P – sehingga sering kali mengharuskan penulisan ulang perangkat lunak. Sebaliknya SEV AMD Infinity Guard tidak terbatas pada memori di CPU dan memiliki akses ke seluruh memori prosesor: hingga 8TB untuk sistem 2P. Dengan delapan saluran memori dan mesin enkripsi Advanced Encryption Standard (AES) 128-bit di atas masing-masing saluran tersebut, solusi AMD menawarkan cakupan besar untuk akselerasi kinerja dalam lingkungan memori yang kuat.

Ini juga memungkinkan SEV untuk menyediakan fitur keamanan tingkat lanjut tanpa penulisan ulang aplikasi. Ini merupakan pertimbangan penting di lingkungan cloud, menghemat biaya dan menghilangkan kerepotan untuk menyediakan sumber daya berharga guna menulis ulang kode agar sesuai dengan enklave memori vendor. (Atau harus menambah uang untuk meyakinkan penyedia aplikasi agar melakukan hal yang sama.)

Singkatnya, mengadopsi AMD Infinity Guard dan menggunakan fitur keamanan data yang komprehensif, tidak memerlukan pertimbangan ekstra, baik dari segi arsitektur aplikasi atau lingkungan dan sudut pandang kinerja.

Membantu data Anda tetap personal – bahkan di cloud

Secure Memory Encryption (SME) membantu melindungi terhadap serangan pada integritas memori utama (seperti serangan cold-boot tertentu) karena mengenkripsi data. Mesin enkripsi berkinerja tinggi yang terintegrasi ke dalam saluran memori membantu mempercepat kinerja. Semua ini dilakukan tanpa modifikasi pada perangkat lunak aplikasi Anda.

Melampaui Komputasi Rahasia dan Melampaui Cloud

AMD Infinity Guard, serangkaian fitur keamanan yang kuat, diaktifkan secara bergantian oleh serangkaian teknologi berlapis yang dapat diakses oleh semua hypervisor vendor HCI utama. Ini adalah serangkaian fitur keamanan modern terdepan di industri yang membantu mengurangi potensi serangan saat perangkat lunak di-boot, dijalankan, dan memproses data Anda.

Built-in hingga tingkat silikon, AMD Infinity Guard menawarkan kemampuan canggih untuk membantu bertahan melawan ancaman internal dan eksternal. Sangat cocok untuk digunakan oleh UKM dan organisasi perusahaan, baik mereka ingin mengaktifkan komputasi rahasia di cloud atau meningkatkan keamanan pusat data; baik yang bekerja dengan lingkungan Linux® atau Microsoft.

Mengapa AMD

Enkripsi berbasis perangkat keras yang disediakan oleh AMD Infinity Guard memungkinkan peningkatan komputasi rahasia dengan sedikit dampak pada kinerja.

AMD Infinity Guard dirancang untuk membantu melindungi data Anda untuk menghindari biaya dan downtime yang terkait dengan pembobolan data.

AMD menggunakan pendekatan multifaset yang unik untuk perlindungan data, menawarkan fitur keamanan virtualisasi dunia nyata yang berdampak minimal pada kinerja, dan dapat diakses tanpa modifikasi pada perangkat lunak aplikasi Anda. AMD Infinity Guard juga menawarkan langkah-langkah keamanan di banyak solusi perangkat lunak dan perangkat keras untuk perlindungan berlapis di tingkat perangkat keras, sistem, dan aplikasi.

Sehingga pAendekatan berlapis semacam inilah yang dapat membantu bisnis selalu selangkah lebih maju dari ancaman keamanan yang terus berkembang.