Dropbox Menggunakan Layanan Keamanan AWS untuk Menskalakan Perlindungan Layanan Tanda Tangannya

Perusahaan penyimpanan file berbasis cloud dan ruang kerja cerdas, Dropbox, mengakuisisi solusi tanda tangan dan penyimpanan elektronik HelloSign pada tahun 2019. HelloSign tumbuh dengan cepat hingga mencapai lebih dari 80.000 pelanggan pada tahun 2021 dan menyadari pentingnya melindungi data informasi pengenal pribadi (PII) serta informasi kartu pembayaran pelanggan. Perusahaan ingin membuat layanannya aman dan mempunyai ketersediaan tinggi, yang mengharuskan mereka melindungi layanan tersebut dari distributed denial of service (DDoS) serta peristiwa keamanan lainnya.

Karena telah menggunakan Amazon Web Services (AWS) untuk berbagai kebutuhan infrastrukturnya, perusahaan ini memutuskan untuk memperluas penggunaan AWS guna meningkatkan postur keamanannya. Hanya dalam waktu 6 bulan, HelloSign meningkatkan keamanannya dengan menggunakan serangkaian alat keamanan kustom yang dapat diskalakan dari AWS, yang menerapkan praktik terbaik, menghemat waktu developer, meningkatkan waktu respons keamanan, serta mencegah peristiwa keamanan.

Dropbox adalah ruang kerja cerdas yang menawarkan sinkronisasi file dan fitur berbagi untuk mengoptimalkan alur kerja. Saat mengakuisisi HelloSign, Dropbox memberi pelanggan kemampuan untuk mengirim, menandatangani, dan menyimpan dokumen secara online tanpa meninggalkan Dropbox. HelloSign memutuskan untuk meningkatkan postur keamanannya, termasuk dengan mendapatkan visibilitas ke dalam keamanan aplikasi webnya dan secara proaktif mengidentifikasi data PII yang disimpan sehingga mereka dapat mengidentifikasi tempat yang memerlukan kontrol tambahan.

HelloSign menginginkan opsi yang dapat diskalakan dan andal, yang tidak mengharuskan pemindahan data ke solusi pihak ketiga—yang berpotensi membuka akses perusahaan luar ke PII dan karenanya memerlukan proses peninjauan keamanan yang memakan waktu. HelloSign telah memercayakan infrastrukturnya kepada AWS, menyimpan data terenkripsi menggunakan Amazon Simple Storage Service (Amazon S3), sebuah penyimpanan objek yang dibuat untuk mengambil data dalam jumlah berapa pun dan dari mana pun. Alih-alih mengadopsi layanan keamanan sedikit demi sedikit, HelloSign dengan cepat menerapkan serangkaian layanan keamanan AWS ke dalam alur kerja internalnya.

Pada lapisan pertama solusi keamanan HelloSign adalah Amazon Macie, layanan keamanan data dan privasi data terkelola penuh yang menggunakan machine learning serta pencocokan pola untuk menemukan dan melindungi data sensitif di bucket Amazon S3. Amazon Macie berfungsi dalam skala besar dan tanpa memindahkan data ke pihak ketiga. Untuk manajemen kerentanan, HelloSign menggunakan Amazon Inspector, yang membantu meningkatkan keamanan dan kepatuhan aplikasi yang dilakukan deployment di AWS dengan menilai kerentanannya serta memeriksa aksesibilitas jaringan yang tidak diinginkan. “Kami menggunakan temuan Amazon Inspector sebagai bagian dari proses otomatisasi manajemen patch, yang menghemat banyak waktu dan sumber daya dalam pembaruan perangkat lunak serta sistem,” kata Kirtika Dommeti, senior security engineer di HelloSign. Untuk menambah visibilitas keamanan, HelloSign menggunakan Amazon GuardDuty, sebuah layanan deteksi ancaman yang terus memantau aktivitas mencurigakan dan perilaku tidak sah untuk melindungi akun AWS, beban kerja, serta data yang tersimpan di Amazon S3. Untuk lebih memahami akar penyebab temuan keamanan dari Amazon GuardDuty, perusahaan mengevaluasi Amazon Detective, yang menggunakan machine learning, analisis statistik, dan teori grafik untuk membangun serangkaian data terkait agar pengguna dapat mudah melakukan investigasi keamanan secara lebih cepat dan lebih efisien.

Untuk memantau dan melaporkan postur keamanan AWS HelloSign, perusahaan menggunakan AWS Security Hub, yang mengumpulkan semua temuan keamanannya serta melakukan pemeriksaan praktik terbaik keamanan di seluruh deployment AWS. Tampilan komprehensif mengenai peringatan keamanan dan postur keamanan ini membantu mendukung kepatuhan. Misalnya, HelloSign menggunakan kemampuan Amazon Macie untuk membantu mendeteksi PII dan informasi kartu pembayaran selain pemeriksaan postur keamanan yang komprehensif dari AWS Security Hub untuk memenuhi tolok ukur Pusat Keamanan Internet dan Standar Keamanan Data Industri Kartu Pembayaran.

HelloSign mengelola temuan menggunakan logika pemrosesan eksklusif di samping layanan seperti AWS Lambda, sebuah layanan komputasi nirserver yang memungkinkan pengguna menjalankan kode tanpa perlu menyediakan atau mengelola server, dan Amazon DynamoDB, sebuah basis data nilai-kunci dan dokumen yang menghasilkan performa satu digit milidetik pada skala berapa pun. Tim internal HelloSign kemudian mengatasi masalah apa pun melalui alur kerja tiket dan respons insiden perusahaan.

Perusahaan menanggulangi peristiwa keamanan aplikasi web menggunakan AWS Web Application Firewall (AWS WAF), yang membantu melindungi aplikasi web atau API dari eksploitasi web umum dan bot yang dapat memengaruhi ketersediaan, mengganggu keamanan, atau memakai sumber daya secara berlebihan. Dengan menggunakan AWS WAF, HelloSign dapat memfilter lalu lintas sebelum mencapai server web perusahaan, sehingga dapat memitigasi insiden hanya dalam waktu 15–30 menit, menyesuaikan aturan yang secara proaktif memblokir pola peristiwa keamanan umum, dan menerapkan blok geografis atau spesifik negara ke area yang mendapat sanksi AS. Dengan menggunakan AWS WAF, HelloSign dapat mencegah 12 peristiwa keamanan DDoS dan ancaman keamanan lainnya yang mungkin dapat menggagalkan sistemnya. HelloSign juga menggunakan AWS Shield Advanced, layanan perlindungan DDoS terkelola yang membantu melindungi aplikasi yang berjalan di AWS. Untuk sumber daya yang dilindungi menggunakan AWS Shield Advanced, pelanggan mendapatkan AWS WAF dan AWS Firewall Manager, sebuah layanan manajemen keamanan, tanpa biaya tambahan. “Sekarang kita dapat membuat keputusan cerdas dan mendapatkan visibilitas tentang pelanggan dan asal mereka,” kata Dommeti.

HelloSign meningkatkan proses autentikasi menggunakan AWS Masuk Tunggal (AWS SSO), yang memudahkannya dalam mengelola akses ke beberapa akun AWS dan aplikasi bisnis secara terpusat serta memberi pengguna akses masuk tunggal ke semua akun dan aplikasi yang ditetapkan dari satu tempat. Mengotomatiskan fitur keamanan dalam waktu 3 bulan telah menyederhanakan alur kerja dan mengurangi tugas yang memakan waktu. Secara keseluruhan, upaya ini telah meningkatkan efisiensi karena menghemat waktu HelloSign sekitar 120 jam kerja seminggu. “Karena layanannya bersifat intuitif, kami dapat memulainya dan melatih personel baru untuk mengelolanya dengan mudah,” kata Dommeti.

Kemudahan penggunaan dan integrasi layanan keamanan AWS telah membantu HelloSign mencapai tingkat keamanan di atas standar industri. “Dengan menggunakan AWS, kami dapat mematangkan model keamanan dan mengotomatiskan proses manual,” kata Mark Dorsi, director of security HelloSign. “Kami menghemat sekitar satu juta dolar per tahun dalam waktu triase untuk operasi keamanan, kepegawaian, dan biaya perizinan.”