ZS Memberikan Praktik Terbaik Keamanan yang Selalu Aktif Menggunakan Layanan Keamanan AWS

ZS Associates (ZS) berupaya menciptakan visibilitas yang lebih besar dan menyederhanakan manajemen postur keamanan mereka untuk basis klien global yang beragam dengan kebutuhan keamanan yang kompleks dan berat. Banyak dari klien mereka harus memenuhi standar kepatuhan yang bervariasi berdasarkan negara dan industri. ZS telah membangun arsitektur solusi cloud yang unik untuk klien individu dengan menggunakan Amazon Web Services (AWS) sehingga mereka mencari solusi keamanan yang dapat direplikasi yang dapat diskalakan secara sederhana dan bekerja dengan baik bersama ratusan layanan AWS yang sudah mereka gunakan. Dengan menggunakan AWS, ZS membangun lanskap keamanan komprehensif yang dapat diskalakan yang mengotomatisasi prosedur keamanan manual yang memakan waktu dan memudahkan peluncuran arsitektur cloud untuk klien.

Sejak didirikan pada tahun 1983, ZS telah menggunakan perangkat lunak untuk memecahkan permasalahan klien. Selama bertahun-tahun, perusahaan ini telah membangun penawaran inovatif menggunakan analitik dan kemampuan kecerdasan buatan serta machine learning, dan menawarkannya sebagai perangkat lunak sebagai layanan. ZS sering kali membangun solusi klien menggunakan platform milik mereka sendiri, ZAIDYN, yang dibangun di atas AWS dan ditambah dengan berbagai layanan AWS terkelola. Perusahaan ini memiliki Pusat Keunggulan Cloud (CCoE) mereka sendiri, sebuah departemen yang didedikasikan untuk membangun, memelihara, dan membantu mendesain lebih dari 250 akun AWS yang merupakan bagian dari solusi ZS untuk klien mereka. Berbagai layanan AWS bekerja bersama-sama untuk setiap klien dalam apa yang disebut oleh ZS sebagai “akun AWS cabang”, yang semuanya dapat dipantau oleh ZS dengan memusatkan log, metrik, dan peristiwa yang relevan.

Log, metrik, dan peristiwa ini menghasilkan informasi mentah berskala terabita, yang disimpan oleh ZS setidaknya selama satu tahun menggunakan Amazon Simple Storage Service (Amazon S3), sebuah layanan penyimpanan objek yang menawarkan skalabilitas, ketersediaan data, keamanan, dan performa terdepan di industri. CCoE menciptakan cara untuk memfilter informasi ini, dengan mengirim ratusan gigabita melalui komponen perantara ke dalam platform observabilitas terpusat. (Lihat Diagram 1, arsitektur referensi Platform Observabilitas AWS.) “Anda harus memiliki proses uji tuntas khusus perusahaan yang menciptakan berbagai tingkatan data sehingga Anda dapat melihat log yang memberikan wawasan paling banyak,” ungkap Rujuswami Gandhi, direktur layanan cloud untuk ZS. 

Keamanan adalah bagian penting dari aliran informasi ini. ZS membangun lanskap keamanan yang kuat yang berpusat pada kerangka kerja keamanan siber dari National Institute of Standards and Technology (NIST): mengidentifikasi, melindungi, mendeteksi dan merespons, serta memulihkan. ZS menambahkan tata kelola, sebuah inisiatif internal untuk membantu perusahaan mempersiapkan audit keamanan pihak ketiga. “Di berbagai layanan AWS yang kami gunakan dengan arsitektur penghunian unik yang kami ikuti untuk klien kami, keamanan adalah elemen yang sangat penting karena klien kami memiliki ekspektasi keamanan informasi yang tinggi,” kata Gandhi. “Pelanggan kami dapat meyakini bahwa kami tidak hanya menggunakan layanan AWS dengan cara yang matang, tetapi kami juga menyelaraskan dengan kerangka kerja standar industri.” Untuk mendapatkan detail tentang lanskap keamanan yang dibangun oleh ZS, lihat Diagram 2, “Lanskap Kepercayaan AWS Cloud ZS – Lensa keamanan”.

Contohnya, sebagai bagian dari pilar deteksi dan respons, ZS menggunakan delapan layanan dari AWS yang ditambah dengan berbagai solusi pihak ketiga. Dengan menggunakan AWS Security Hub, sebuah layanan manajemen postur keamanan cloud yang melakukan pemeriksaan praktik terbaik keamanan, mengagregasikan peringatan, dan mendukung remediasi otomatis, ZS mencapai visibilitas terpusat yang mendekati waktu nyata. Selain itu, ZS telah menyederhanakan manajemen kepatuhan dasar mereka dengan kemampuan pemetaan untuk berbagai kerangka kerja keamanan yang dibutuhkan oleh klien ZS, seperti SOC 2, ISO/IEC 27001, dan HITRUST. Penggunaan AWS Security Hub telah memfasilitasi ekspansi global ZS karena standar keamanan berbeda-beda secara global, misalnya General Data Protection Regulation UE dan kerangka kerja tata kelola Tiongkok yang dikenal sebagai Skema Perlindungan Berlapis. “Dengan menggunakan AWS Security Hub, kami hanya memilih dari set aturan paket prabangun, dan deployment akan secara otomatis dilakukan untuk memberikan wawasan dan tren tentang kepatuhan saat pekerjaan perbaikan berlangsung,” ungkap Gandhi. “Mengelola AWS Security Hub bukanlah hal yang sulit.”

Layanan lain yang digunakan oleh ZS untuk mendeteksi dan merespons ancaman adalah Amazon Inspector, sebuah layanan manajemen kerentanan otomatis yang secara terus-menerus memindai beban kerja AWS untuk kerentanan perangkat lunak dan paparan jaringan yang tidak diinginkan. Untuk menggagalkan ancaman langsung, ZS menggunakan Amazon GuardDuty, sebuah layanan deteksi ancaman yang secara terus-menerus memantau akun dan beban kerja AWS untuk aktivitas berbahaya serta memberikan temuan keamanan mendetail untuk visibilitas dan perbaikan. “Penggunaan Amazon GuardDuty telah memberi kami wawasan luar biasa yang dapat menjadi insiden keamanan jika tim respons insiden kami tidak segera diperingatkan,” kata Gandhi. Kemudian, untuk membantu menunjukkan kepatuhan, ZS menggunakan AWS CloudTrail, yang memantau dan mencatat aktivitas akun di seluruh infrastruktur AWS. Visibilitas yang lebih besar ini menyederhanakan prosedur audit.

Sebagai bagian dari lanskapnya yang selaras dengan pilar perlindungan kerangka kerja NIST, ZS menggunakan AWS Identity and Access Management (AWS IAM), yang menyediakan kontrol akses terperinci di semua AWS. “Masalah ini akan menjadi sangat kompleks untuk diatasi sendiri tanpa AWS,” kata Beeling Chang, arsitek cloud untuk ZS.

Seluruh beban kerja CCoE dibangun di atas konsep dari Zona Landasan AWS, sebuah solusi yang membantu pelanggan menyiapkan lingkungan AWS multiakun yang aman dengan lebih cepat berdasarkan praktik terbaik AWS. Zona Landasan AWS membantu menghemat waktu dengan mengotomatisasi pengaturan untuk menjalankan beban kerja yang aman dan dapat diskalakan. ZS memperkirakan bahwa mode kepatuhan otomatis dan selalu aktif dari solusi AWS menghemat sekitar 1.000 jam tenaga kerja setiap bulannya, yang seharusnya dihabiskan untuk memeriksa kepatuhan terhadap praktik terbaik keamanan secara manual. Selain itu, ZS mengorientasi klien baru tiga kali lebih cepat menggunakan keamanan dan layanan lain yang dapat ditumpuk dari AWS.

Tim CCoE ZS terus berfokus pada keamanan karena mereka menginginkan peningkatan di seluruh Kerangka Kerja AWS Well-Architected, yang membantu arsitek cloud membangun infrastruktur yang aman, beperforma tinggi, tangguh, dan efisien untuk berbagai aplikasi serta beban kerja.

Selain itu, sejak mengalihkan fokusnya ke solusi AWS, ZS telah meningkatkan ketangkasannya dalam memanfaatkan analitik inovatif dan kemampuan machine learning sekaligus menarik perhatian talenta berkualitas dan memberdayakan karyawan-karyawannya. Para karyawan menggunakan teknologi mutakhir ini untuk bekerja secara kolaboratif dengan klien guna membantu memecahkan masalah yang kompleks. “Penggunaan AWS membantu memberi kami visibilitas terpusat,” ungkap Gandhi. “Visibilitas ini selalu aktif dan selalu live. Hal ini mengubah keseluruhan pola pikir kami.”