Sophos Menyederhanakan dan Memusatkan Manajemen Akun AWS Menggunakan Pusat Identitas AWS IAM

Sophos—perusahaan keamanan teknologi informasi cloud-native yang menyediakan perlindungan, pemantauan, dan respons ancaman 24/7 di seluruh lingkungan cloud hibrida—berkembang secara pesat menggunakan Amazon Web Services (AWS). Langkah selanjutnya dalam perjalanan Sophos ialah menyederhanakan orientasi akun dan memusatkan manajemen akun. Dahulu, Sophos menggunakan federasi identitas berdasarkan akun per akun untuk memberikan akses ke AWS. Dengan menggunakan federasi identitas, Sophos dapat mengelola akses akun AWS secara sederhana dan aman, tetapi perusahaan menginginkan cara yang lebih sederhana dan lebih mudah diskalakan untuk mengelola akses di akun AWS yang jumlahnya terus bertambah. Pada saat yang sama, Sophos harus menjaga kontrol akses yang ketat pada pengaturan akun AWS baru, peran manajemen identitas dan akses, izin, serta kredensial pengguna sementara.

Untuk menyederhanakan dan memusatkan manajemen akun AWS serta mendapatkan opsi yang lebih fleksibel saat menetapkan peran dan izin pengguna, Sophos menerapkan Pusat Identitas AWS IAM (penerus AWS Single Sign-On). Pusat Identitas IAM adalah layanan yang mempermudah pengelolaan akses secara terpusat ke beberapa akun AWS dan aplikasi bisnis. Daripada harus menyiapkan federasi identitas untuk setiap akun, Sophos hanya perlu mengatur federasi identitas sekali melalui Pusat Identitas IAM untuk mengelola akses di beberapa akun AWS, yang secara signifikan menyederhanakan proses orientasi akun baru dan penetapan peran terpisah dengan hak istimewa terbatas. Sekarang, karena telah dapat mengelola akses akun secara terpusat dari konsol Pusat Identitas IAM atau antarmuka baris perintah, maka Sophos tidak perlu lagi mengandalkan ekstensi pihak ketiga untuk menetapkan kredensial sementara kepada developer. “Personel kami sangat senang dengan tampilan dan nuansa Pusat Identitas IAM,” kata Guy Davies, principal cloud architect di Sophos. “Di samping itu, waktu pembuatan akun menjadi jauh lebih singkat karena sebagian besar sekarang otomatis.”

Sophos didirikan pada 1985, dan hari ini produknya telah membantu melindungi lebih dari 400.000 organisasi dan lebih dari 100 juta pengguna di lebih dari 150 negara dari ancaman siber yang canggih. Sebelum menggunakan Pusat Identitas IAM, Sophos menggunakan federasi identitas berdasarkan akun per akun untuk mengelola 250 akun AWS miliknya dengan aman, yang diakses oleh 1.500 pengguna internal. Proses orientasi, pengelolaan, dan pembuatan perubahan pada akun AWS miliknya memakan waktu karena memerlukan masukan baik dari tim teknologi informasi maupun tim pengembangan cloud. Saat itu Sophos tengah mencari cara untuk menskalakan lebih cepat lagi dengan ketangkasan yang dibutuhkannya.

Sophos telah menggunakan layanan AWS, seperti AWS Organizations, suatu layanan yang membantu berbagai perusahaan untuk mengelola dan mengatur lingkungan AWS secara terpusat seiring dengan bertambahnya skala sumber daya AWS mereka. Selain itu, Sophos ingin memusatkan manajemen akun AWS miliknya dan menghindari langkah-langkah tambahan saat melakukan orientasi pada akun baru dan mengubah izin peran. Sophos memiliki lebih dari 500 grup Azure Active Directory yang digunakan untuk mengontrol akses akun. Jadi, pada 2019, ketika Pusat Identitas IAM mulai mendukung spesifikasi System for Cross-domain Identity Management, Sophos menemukan solusi untuk menyederhanakan orientasi akun dan mengelola akses dalam skala besar. Kini Sophos telah dapat menyinkronkan grup Azure Active Directory miliknya yang ada ke AWS. “Kami memiliki keterampilan untuk membangun solusi sendiri, tetapi kami juga memiliki 1.500 orang yang terampil di AWS,” kata Davies. “Memulai di lingkungan AWS memudahkan kami untuk melakukan hal-hal hebat.”

Sophos ingin tetap menggunakan penyedia layanan identitas miliknya yang ada—termasuk Azure Active Directory, yang merupakan layanan identitas perusahaan—serta perangkat autentikasi Jira dan autentikasi perangkat keras YubiKey. Alat identitas dan Pusat Identitas IAM ini digunakan bersama tanpa hambatan sehingga memungkinkan autentikasi multifaktor yang aman. Setelah melakukan bukti konsep dan menerima umpan balik internal yang positif, Sophos melanjutkan transisi ke Pusat Identitas IAM. Sophos menyelesaikan pengaturan dalam beberapa minggu, yaitu pada September 2020, dan pada minggu pertama Oktober, Sophos meminta 1.500 pengguna internalnya untuk melakukan peralihan pada akhir bulan. Sophos melihat peningkatan awal yang cepat lalu diikuti dengan transisi yang lebih lambat dari beberapa pengguna, tetapi reaksinya positif secara umum. “Saya rasa kami tidak mendapat umpan balik negatif mengenai Pusat Identitas IAM,” kata Davies. “Mengingat perubahan ini memengaruhi alur kerja harian sekitar 1.500 orang, ini luar biasa.”

Transisi ke Pusat Identitas IAM berhasil menyederhanakan semua aspek manajemen akun AWS untuk tim Sophos secara signifikan sehingga mampu mengurangi waktu yang diperlukan untuk melakukan orientasi akun AWS baru dari beberapa hari menjadi kurang dari 1 hari dan memungkinkan pencabutan akses akun AWS dalam sekejap saat kontraktor datang dan pergi. Dahulu, untuk mencabut akses pengguna, semua grup Azure Active Directory individual yang mengontrol akses ke akun individual harus diperiksa secara teliti agar dapat sepenuhnya mencabut akses ke setiap akun, lalu menunggu Azure Active Directory disinkronkan. Proses ini bisa memakan waktu hingga satu jam. Setelah membuat dua grup Azure Active Directory—satu yang berisi semua pengguna individual dan memberikan akses ke konsol Pusat Identitas IAM serta satu lagi yang disinkronkan melalui System for Cross-domain Identity Management dan memberikan akses ke akun dan izin AWS—Sophos kini dapat dengan mudah mengeluarkan pengguna dari grup Pusat Identitas IAM, dan akses segera dicabut tanpa harus menunggu sinkronisasi. Secara keseluruhan, developer telah menghemat ratusan jam untuk pembuatan akun AWS dan tidak lagi memerlukan tim teknologi informasi untuk melakukan orientasi akun AWS. Hal ini berpengaruh pada penurunan biaya sumber daya dan memungkinkan Sophos untuk menskalakan dengan lebih tangkas.

Dengan menggunakan Pusat Identitas IAM, Sophos juga merasakan manfaat keamanan yang penting, yaitu sekarang dapat menyediakan opsi membuat kredensial sementara bagi penggunanya untuk mengakses sumber daya AWS. Sophos tidak perlu memindahtangankan atau mencabut kredensialnya saat tidak lagi diperlukan. Pusat Identitas IAM juga memungkinkan para administrator akun untuk mengubah izin dari lokasi pusat sehingga memberi mereka fleksibilitas untuk menyesuaikan izin peran dengan cepat. “Sekarang izin yang kami tetapkan bisa lebih detail karena kami dapat membuat kumpulan izin sebanyak yang kami inginkan tanpa kesulitan,” jelas Davies. “Kami dapat mengurangi lingkup akses orang ke akun AWS mereka untuk menurunkan permukaan serangan.”

Bagi Sophos, penerapan Pusat Identitas IAM telah menghasilkan manajemen akun AWS yang jauh lebih cepat dan lebih ramping, sehingga developer tidak lagi menghabiskan banyak waktu menunggu di tim lain dan lebih banyak waktu untuk berfokus pada inovasi yang menarik. Sophos juga berencana menggunakan API Pusat Identitas IAM untuk membangun lebih banyak otomatisasi serta lebih mempercepat proses orientasi dan akses akun AWS di masa mendatang. Misalnya, Sophos berencana mengotomatiskan sarana penyediaan akses akun—akan berguna jika seseorang membuat permintaan setelah jam kerja normal.

“Itulah beberapa hal yang ingin kami lakukan sehingga kami memiliki pendekatan yang lebih detail dan dinamis untuk manajemen hak istimewa akun AWS kami,” kata Davies. “Semua ini sangat mungkin dilakukan menggunakan Pusat Identitas IAM.”