School of Information Systems

The OutSystems Sentry Toughest Technical Challenges

The OutSystems Sentry Toughest Technical Challenges

Sentry lebih dari sekedar produk Sentry merupakan layanan. Dalam memberikan layanan yang baik bagi setiap konsumen Sentry, tentu saja menemui tantangan dalam eksekusinya. Pada artikel ini, kita akan membahas 3 tantangan teknis utama yang ditemui dalam menggunakan OutSystems Sentry.

  1. Deriving Technical Requirements From SOC 2 Criteria (Mendefinisikan persyaratan teknis dari kriteria SOC 2)

Untuk memenuhi kebutuhan keamanan, pertama-tama Sentry harus menentukan apa persyaratannya. Sangat penting bahwa persyaratan teknis sangat spesifik. Persyaratan non-teknis yang ambigu menyisakan banyak ruang untuk interpretasi dan dapat menyebabkan implementasi yang tidak lengkap. Atau Anda bisa berakhir dengan implementasi berlebihan dengan fitur yang sama sekali tidak memadai.

Di sisi lain, menentukan persyaratan satu ukuran untuk semua yang didefinisikan oleh satu standar kepatuhan membawa masalah tersendiri. Menerapkan persyaratan umum untuk berbagai produk atau layanan yang berbeda dalam implementasi atau penggunaan dapat menyebabkan hasil yang berbeda. Hal ini dapat dianalogikan seperti hanya memiliki satu ukuran T-shirt — tidak pernah cocok untuk semua orang, bukan? Penawaran cloud platform-as-a-service (PaaS) Sentry dirancang khusus, sehingga solusi standar mungkin tidak sesuai.

 Standar industri, standar pelaporan SOC 2, adalah prosedur audit yang menetapkan dan memastikan kriteria untuk mengelola data pelanggan berdasarkan Kriteria Layanan Kepercayaan (TSC), dan digunakan untuk mengevaluasi sistem informasi organisasi. Kriteria diklasifikasikan ke dalam lima kategori berikut: privasi, keamanan, ketersediaan, integritas pemrosesan, dan kerahasiaan. Hal ini juga mendefinisikan persyaratan untuk mengevaluasi kontrol operasional sistem informasi, di seluruh komponen sistem, diklasifikasikan dalam lima kategori: infrastruktur, perangkat lunak, orang, prosedur, dan data. Lebih lagi,hal ini mendefinisikan seperangkat kontrol kriteria untuk dinilai dan dilaporkan dalam pengesahan sistem atau entitas.

Maka tantangan besar pertama adalah menemukan jawaban untuk pertanyaan-pertanyaan berikut.

  • Bagaimana Sentry memperoleh persyaratan teknis non-fungsional untuk cloud PaaS kami dari kriteria Standar SOC 2 ketika itu adalah produk unik yang dibuat khusus yang dirancang untuk memenuhi kebutuhan khusus pelanggan Sentry?
  • Bisakah Sentry masih mengandalkan standar industri untuk mengatasi semua persyaratan teknis untuk mematuhi standar SOC 2?

Untuk menemukan solusi dari pertanyaan tersebut, Sentry mulai menyelaraskan kriteria standar SOC 2 dengan persyaratan teknis nyata, menggunakan pendekatan terstruktur berikut. Sentry  mengidentifikasi bagaimana kriteria layanan perwalian akan memetakan persyaratan teknis dan aspek lain dari produk kami. Pekerjaan teliti dalam skala besar, jadi untuk memastikan kami memeriksa semua kotak, Sentry  mendefinisikan sebuah matriks untuk menganalisis korelasi antara lima kategori kriteria layanan kepercayaan dan lima komponen utama. Selanjutnya, kami mengevaluasi bagaimana setiap kriteria akan berdampak pada produknya.

  1. Ensuring the Operational Requirements (Memastikan persyaratan operasional)

Aspek operasional penting dalam keamanan sistem adalah bagaimana tim operasional mengakses sistem untuk pemecahan masalah dan pemulihan. Untuk memastikan hal ini, Sentry memilih pendekatan terbaik, yaitu Sentry mengidentifikasi persyaratan sistem yang akan memenuhi kebutuhan operasional, yaitu:

  • Izinkan akses ke ribuan server dan database yang tersebar di berbagai wilayah AWS.
  • Pastikan server dapat diskalakan untuk lebih dari 100 insinyur operasi untuk bekerja secara bersamaan sambil memastikan pelacakan dan kotak pasir yang tepat untuk setiap insinyur.
  • Adanya dukungan untuk semua alat diagnostik dan pemecahan masalah (debugger, dump analysis, dll.) Yang dibutuhkan oleh teknisi operasi kami.
  • Pastikan akses yang aman dan dapat dilacak dari mana saja di dunia.
  • Ketersediaan 24/7.

  1. Ensuring Secure On-Demand Access (Memastikan Keamanan akses)

Tantangan teknis lain yang harus diatasi adalah pengelolaan kumpulan pengguna operasional di ribuan sistem yang tersebar di beberapa wilayah dan jenis teknologi. Sentry  harus memastikan persyaratan keamanan terpenuhi untuk otentikasi, otorisasi, dan akuntansi pengguna tetapi dengan sedikit upaya pemeliharaan. Mengintegrasikan otentikasi ke berbagai teknologi (Windows, Linux, SQL Server, Oracle, OutSystems, dan Splunk) dapat dicapai menggunakan platform atau perangkat lunak sistem masuk tunggal ( Single Sign-On atau SSO), tetapi Sentry menginginkan otentikasi yang lebih tepat.

Akses Sesuai Permintaan, Tetapi Hanya Saat Diperlukan

Sentry memiliki harapan yang tinggi untuk produk ini,sehingga memutuskan untuk menaikkan standar persyaratan keamanan dan memastikan teknisi operasi hanya memiliki akses ke sistem Platform as a System (PaaS) ketika sangat diperlukan untuk waktu yang singkat. Sentry juga memutuskan untuk memberikan informasi audit tambahan terkait dengan tiket operasional. Persyaratan yang diberikan Sentry adalah:

  • Sistem harus mudah diakses dan digunakan oleh para insinyur operasi.
  • Insinyur operasi tidak memiliki akses aset langsung (dari kotak lompat) secara default.
  • Insinyur operasi hanya memiliki akses ke aset jika diperlukan di bawah lingkup tugas atau tiket operasional.
  • Insinyur operasi harus nominal, dan kredensial mereka harus berputar secara berkala.

Mengandalkan solusi SSO untuk mengelola otentikasi dan izin untuk lebih dari seratus insinyur (dan terus berkembang) di ribuan aset yang berbeda kemungkinan besar akan mengarah pada kebijakan yang selalu aktif dan akses semua sebagai sarana untuk menyederhanakan tugas manajemen.

Setelah melihat beberapa alternatif, Sentry mulai condong ke arah gagasan untuk membuat kredensial akses sesuai permintaan. Dan, sementara kami terus mengulangi ide itu, Sentry menemukan bahwa Sentry dapat memenuhi semua persyaratan keamanan yang diperlukan dengan solusi yang murah dan dapat diskalakan.

Pada akhirnya, Sentry memberi pelanggan operasi yang lebih fleksibel selain sistem yang sangat kompleks dan patuh. OutSystems Sentry memberikan rasa kepuasan luar biasa kepada semua orang yang terlibat karena Sentry tahu bahwa Sentry memberikan solusi yang sesuai dengan standar keamanan tertinggi.

Sumber: https://www.outsystems.com/blog/posts/sentry-technical-challenges/

Inggried Kurniawan