DevSecOps, Mendekatkan Keamanan ke Tahap Pengembangan | Warung Komputer. Ketika aplikasi menjadi incaran pencuri informasi, muncul istilah ‘bergeser ke kiri’. Keamanan diintegrasikan lebih dekat ke tahap pengembangan aplikasi.
DALAM dunia bisnis yang sangat kompetitif saat ini, aplikasi menjadi pintu gerbang menuju data perusahaan dan pelanggan. Maka berbagai perusahaan pun berupaya menghadirkan aplikasi-aplikasi yang lebih cerdas, lebih cepat, dan lebih aman. Agar aplikasi bisa lebih lincah, scalable, dan hemat biaya, perusahaan-perusahaan juga memindahkan aplikasi-aplikasi mereka ke lingkungan cloud.
Sebuah studi Dell EMC baru-baru ini, The Global Data Protection Index, yang dilakukan bekerja sama dengan Vanson Bourne, mengungkapkan bahwa penggunaan cloud di lingkungan TI perusahaan di Asia meningkat dari 27% pada tahun 2016 menjadi 41% di tahun 2018. Hampir 100% responden memanfaatkan cloud sebagai bagian dari strategi perlindungan data mereka.
Bahkan, dalam studi State of Application Services 2019 yang dilakukan oleh F5, kami menemukan bahwa 87% perusahaan di Asia mengoperasikan arsitektur multicloud, yang didorong oleh metodologi yang mengutamakan aplikasi. Lebih dari 90% responden di Australia, Selandia Baru, China, dan India menunjukkan bahwa mereka menggunakan lebih dari satu penyedia cloud.
Di Indonesia, 19,4% perusahaan sudah mulai menggunakan layanan cloud publik. Sementara sebanyak 32,1% perusahaan menyatakan akan menggunakan layanan cloud dalam setahun ke depan. Ini artinya, pergeseran ke cloud tidak memperlihatkan tanda-tanda akan melambat dalam waktu dekat.
Sayangnya, ketika perusahaan-perusahaan sudah mengadopsi cloud, mereka baru menyadari betapa rumitnya penerapan cloud. Yang kerap terjadi adalah kurangnya pengetahuan yang mendalam dan tool terkait cloud. Akibatnya, perusahaan-perusahaan terjebak dalam kekusutan manajemen operasional dari lingkungan aplikasi yang baru ini.
DevOps: Pendekatan Baru untuk Penerapan Aplikasi
Meskipun DevOps adalah istilah yang asing bagi sebagian orang, pendekatan baru terhadap TI ini cepat sekali populer karena DevOps menyatukan orang, proses, dan layanan untuk menciptakan nilai secara terus-menerus bagi konsumen. DevOps menghadirkan layanan secara lebih cepat dan mendorong inovasi sekaligus meningkatkan produktivitas, komunikasi, dan keterlibatan karyawan. Lebih dari 94% perusahaan di kawasan Asia Pasifik telah mengadopsi metode DevOps di lingkungan kerja mereka.
Langkah-langkah proses dari kode pengembangan hingga menciptakan nilai akhir bagi pelanggan yang lebih cepat membuat risiko dalam penerapan aplikasi juga meningkat karena 53% upaya pencurian data menyasar aplikasi itu sendiri. Oleh karena itu, sangat penting bagi perusahaan untuk mengubah mindset dari menerapkan keamanan untuk kepatuhan ke metode yang lebih proaktif dengan memanfaatkan prinsip-prinsip DevOps dalam tool dan proses keamanan mereka.
DevOps bukan lagi merupakan sebuah tim yang terdiri dari individu-individu yang terlibat dalam strategi inovasi perusahaan. DevOps adalah cara baru dalam penerapan TI. Namun, manfaat penyediaan aplikasi dengan kecepatan tinggi mejadi kurang berarti jika tool dan praktik keamanan tidak berevolusi dan beradaptasi untuk mengurangi risiko tanpa memperlambat langkah-langkap proses untuk implementasi aplikasi.
DevSecOps Sebagai Penyelamat
Untuk mendapatkan potensi penuh dari DevOps, perusahaan-perusahaan perlu mengintegrasikan keamanan dan tata kelola ke dalam siklus hidup DevOps sejak awal. Oleh karena itu, muncul istilah ‘bergeser ke kiri’, yang berbicara tentang mengintegrasikan keamanan lebih dekat ke tahap pengembangan (dibandingkan strategi saat ini yang biasanya berkonsentrasi hanya pada fase implementasi), dan momentum yang tengah berkembang saat ini yang dikenal sebagai DevSecOps, yaitu metode baru di sektor TI yang nilainya diperkirakan akan mencapai US$5,9 miliar pada tahun 2023.
Manfaat jangka panjang dari DevSecOps jauh lebih besar daripada kesulitan jangka pendek yang yang ditimbulkannya. Perusahaan dapat mengintegrasikan kontrol keamanan seperti analisis source co, kontrol rantai pasokan software, dan pengujian keamanan aplikasi secara dinamis dalam langkah-langkah proses pengembangan.
Selain itu, otomatisasi dapat digunakan untuk memberikan loop umpan balik, sehingga mengurangi gesekan dalam proses penerapan aplikasi. Dengan cara ini, pembuatan prototipe dapat dilakukan lebih cepat dalam berbagai teknologi karena DevSecOps memerlukan metode yang digerakkan oleh API untuk mempertahankan kontrol keamanan.
Seperti praktik-praktik DevOps yang ada, keberhasilan DevSecOps tergantung pada tiga pilar dasar keberhasilan: manusia, proses, dan teknologi.
1 Manusia
Meskipun DevSecOps adalah peijalanan yang dimungkinkan oleh teknologi, DevSecOps juga merupakan proses yang dimulai dengan manusia. Perusahaan-perusahaan perlu mendorong perubahan budaya untuk menjembatani kesenjangan antara bagian-bagian terpisah (sz7o) tradisional dari tim pengembangan, operasional dan keamanan. Perubahan ini melibatkan pemberdayaan tim lintas fungsi untuk siklus hidup aplikasi secara kompehensif.
2 Proses
Dengan mengingat bahwa kecepatan dan kualitas adalah kunci bagi DevSecOps, perusahaan-perusahaan harus berusaha mengotomatisasi proses-proses manual sebanyak mungkin tanpa mengorbankan kebutuhan keamanan siber. Keamanan harus dilihat sebagai proses dalam fase pengembangan, bukan setelah aplikasi diterapkan. Memperkenalkan storyboard pemodelan ancaman sebagai bagian dari fase pengembangan membantu mengintegrasikan keamanan ke dalam desain dan menghilangkan mentalitas “keamanan sebagai penjaga gerbang yang menjadi penyebab keterlambatan”.
3 Teknologi
Solusi berbasis cloud semakin banyak diadopsi karena DevOps. Untuk mengikuti kecepatan implementasi aplikasi modern, perusahaan-perusahaan harus mengintegrasikan teknologi keamanan lebih awal dalam tahap pengembangan. Untuk bergerak ke arah cara kerja ‘bergeser ke kiri’, pertimbangkan untuk mengintegrasikan solusi keamanan yang menggunakan pendekatan yang mengutamakan otomatisasi dan yang digerakkan oleh API. Menerapkan teknologi yang terintegrasi dalam langkah-langkah proses pengembangan software tanpa memengaruhi jadwal implementasi memberikan manfaat tambahan karena dapat diulang, diaudit, dan kemungkinan besar akan membuat keamanan menjadi tanggung jawab bersama di seluruh pengembangan, operasional, dan anggota tim keamanan.
Jumlah berita-berita utama di media terkait penyusupan dan serangan siber tidak mungkin menurun. Namun, ketika serangan menjadi lebih terotomatisasi dan terdistribusi, perusahaan-perusahaan dapat menggunakan cara-cara baru untuk meminimalkan paparan ancaman siber sekaligus meningkatkan time-to-value.
Penerapan DevSecOps adalah praktik yang akan terus bertumbuh di tahun-tahun mendatang. Pergeseran konsep dari keamanan sebagai hal yang dipikirkan belakangan menjadi integrasi keamanan dalam proses pengembangan yang lincah dengan tanggung jawab dipikul bersama. Hal ini akan memberikan manfaat yang signifikan dalam upaya perusahaan dalam meminimalkan paparan ancaman terhadap organisasi mereka.
Sumber : Majalah InfoKomputer Oktober 2019
