Upload
wicaksono-febriantoro
View
133
Download
4
Embed Size (px)
DESCRIPTION
Untuk mendownload artikel lengkap, silakan kunjungi http://bit.ly/rmkVi7
Citation preview
5/7/2018 Keamanan Cloud Computing - slidepdf.com
http://slidepdf.com/reader/full/keamanan-cloud-computing 1/6
Resiko Cloud Computing
Hadirnya semua kelebihan cloud ( No Investment, Opex lebih kecil, Pay as You go, fast
deploy ) juga membawa banyak risiko. Ada beberapa pertanyaan yang mengemuka, seperti
misalnya :
1. Siapa yang berada di Cloud itu?
2. Siapa yang mengelola para partisipan di Cloud?
3. Siapa yang bertanggung jawab untuk masalah liability?
4. Bagaimana aturan main di dalam Cloud, yang melibatkan beberapa pihak?
5. Bagaimana model pengelolaan database dan informasi di Cloud?
Secara spesifik, calon pemakai jasa-jasa Cloud harus bertanya kepada penyedia jasa
cloud sbb :
1. Bagaimana data mereka dilindungi?
2. Bagaimana penyedia jasa mengatasi celah-celah ancaman (vulnerabilities)?
3. Bagaimana masalah gempuran dan pengeksploitasian ditekan ?
sebuah rantai tidak lebih kuat dari mata rantai yang paling lemah. Oleh sebab itu, Security di
Cloud adalah security semua pemakai jasa Cloud.
Agar aman di Cloud, perusahaan harus benar-benar yakin bahwa penyedia jasa tidak hanya
menjanjikan keamanan, tetapi juga harus membuktikannya.
Sementara semua orang begitu antusias tentang Cloud, mereka harus benar-benar
memperhitungkan kemungkinan kegagalan di Cloud karena Cloud berada di Internet dan
Internet bisa saja gagal. Apa yang dilakukan jika Internet mengalami kegagalan?Kebebasan untuk berpindah-pindah dari penyedia layanan yang satu ke yang lainnya juga
sangat penting, karena pengguna memiliki kebebasan untuk beralih ke penyedia yang
dipercaya. Jika penyedia layanan tidak handal, tidak dapat dipercaya dan memakan biaya
tinggi ataupun sulit untuk melakukan perubahan, maka pengguna akan terperangkap dalam
sistem yang tidak handal dan beresiko.
Sebagaimana yang dikatakan sebagai bisnis service, dengan teknologi cloud anda sebaiknya
mengetahui dan memastikan apa yang anda bayar dan apa yang anda investasikan
sepenuhnya memang untuk kebutuhan anda menggunakan service ini. Anda harus
memperhatikan pada beberapa bagian yaitu:
* Service level – Cloud provider mungkin tidak akan konsisten dengan performance dari
application atau transaksi. Hal ini mengharuskan anda untuk memahami service level yang
anda dapatkan mengenai transaction response time, data protection dan kecepatan data
recovery.
* Privacy - Karena orang lain / perusahaan lain juga melakukan hosting kemungkinan data
anda akan keluar atau di baca oleh pihak lain dapat terjadi tanpa sepengetahuan anda atau
approve dari anda.
* Compliance - Anda juga harus memperhatikan regulasi dari bisnis yang anda miliki,
dalam hal ini secara teoritis cloud service provider diharapkan dapat menyamakan level
compliance untuk penyimpanan data didalam cloud, namun karena service ini masih sangatmuda anda diharapkan untuk berhati hati dalam hal penyimpanan data.
5/7/2018 Keamanan Cloud Computing - slidepdf.com
http://slidepdf.com/reader/full/keamanan-cloud-computing 2/6
* Data ownership – Apakah data anda masih menjadi milik anda begitu data tersebut
tersimpan didalam cloud? mungkin pertanyaan ini sedikit aneh, namun anda perlu
mengetahui seperti hal nya yang terjadi pada Facebook yang mencoba untuk merubah terms
of use aggrement nya yang mempertanyakan hal ini.
* Data Mobility – Apakah anda dapat melakukan share data diantara cloud service? dan jika anda terminate cloud relationship bagaimana anda mendapatkan data anda kembali?
Format apa yang akan digunakan ? atau dapatkah anda memastikan kopi dari data nya telah
terhapus
Untuk mengimplementasi teknologi cloud untuk data mereka dan menyimpan nya sebagai
fasilitas mereka sendiri untuk memastikan kebijakan perusahaan tersimpan dengan baik
tentunya akan lebih baik, sehingga memastikan proses komputerasisasi pada cloud sebagai
sistem proses yang dibutuhkan akan lebih independen.
Langkah awal yang harus anda lakukan adalah mempelajari sistem kontrak dari cloud
service. pastikan setiap process menjadi simple, dapat berulang ulang dan menjadi nilai
tambah untuk bisnis anda.
Kedua, anda harus mengidentifikasi service apa yang dapat anda manfaatkan di dalam cloud
dan mana yang seharusnya bersifat internal. Hal ini sangat penting untuk anda ketahui
mengenai system dan service core yang dapat dimanfaatkan oleh bisnis anda. dan sebaiknya
anda mengkategorikan beberapa elemen bisnis anda berdasarkan resiko dari penggunaan
cloud service.
Langkah terakhir, anda harus melakukan strategi sourcing untuk mendapatkan biaya yang
sangat murah, namun memiliki scalability dan flexibility untuk kebutuhan bisnis anda. Hal ini
termasuk pertimbangan akan proteksi data ownership dan mobility, compliance dan beberapaelement seperti halnya kontrak IT tradisional.
Cloud Security
Ada 3 hal yang perlu diperhatikan :
1. Confidentiality
2. Integrity
3. Availability
Meliputi beberapa aspek sbb :
1. Autentifikasi2. Aspek Fisik
3. Aspek Personel
4. Aspek Compliance
5. Aspek Legal
Kemungkinan serangan ada di setiap hop, Interupsi, intersep, modifikasi atau fabrikasi.
1. Akses menuju data harus dilindungi dari entiti yang tidak diinginkan
2. Cloud Riskan terhadap :
a. Intersepsi
b. Data yang disimpan di tempat yang tidak diketahui
c. Traffic Analysis ke arah intelejen bisnis
d.
5/7/2018 Keamanan Cloud Computing - slidepdf.com
http://slidepdf.com/reader/full/keamanan-cloud-computing 3/6
Salah satu cara proteksi yaitu menggunakan cryptography :
Untuk masalah Integrity (Integritas data penting) yang tidak boleh diubah dan dibaca
siapapun dalam perjalanannya ada beberapa solusi yang bisa diambil sbb :
1. Digital Signature
hash function.2. Message di-hash dan encrypt pada saat mengirim kemudian di de-crypt dan di-hash
lagi di penerima.
Mengenai Aspek Availability ada beberapa hal yang harus diperhatikan :
1. Pastikan data ada ketika dibutuhkan
2. Kemungkinan jenis serangan :
a. Interupsi
b. DOS
3. Perhatikan QOS dengan baik
Solusi untuk aspek availability adalah sbb :
1. Gunakan Network redundancy
2. Harus memakai backup untuk data recovery
3. Business Continuity
Telaah Lebih Lanjut dari Cloud Security
Sumber : CSA Cloud Computing Security Guidance V.21
Produk cloud dipisahkan menjadi 3 bagian (public, private/community dan hybrid)sedangkan masing-masing produk dapat dianalisis oleh 4 komponen yaitu :
5/7/2018 Keamanan Cloud Computing - slidepdf.com
http://slidepdf.com/reader/full/keamanan-cloud-computing 4/6
1. Infrastrukturnya dimanaged oleh siapa ?
2. Infrastruktur dimiliki oleh siapa ?
3. Infrastruktur diletakkan dimana ?
4. Dan yang terakhir diakses dan dikonsumsi siapa ?
Dapat kita tarik kesimpulan bahwa layanan cloud yang paling aman yaitu layanan private
cloud , karena semua infra struktur dikelola, dimiliki dan diletakkan dalam area/wilayah
organisasi. Biasanya hanya organisasi besar saja yg mampu membuat private cloud, karena
investasinya cukup besar.
Untuk yang tidak mampu membuat private/community cloud, “terpaksa” harus memilih
public atau hybrid cloud, yang walaupun “relatif kurang aman” (berada di pihak ketiga) tapi
masih mampu untuk menyediakan layanan sesuai SLA dan QOS yang dijanjikan.
Pada gambar dibawah ini dapat kita lihat perbandingan dari standard compliance model (PCI,
HIPAA, SOX,dll) dibandingkan dengan security control model dan yang terjadi di cloud :
Sumber : CSA Cloud Computing Security Guidance V.21
Setelah dilakukan gap analysis dan review persyaratan dari semua regulator , akan lebih
mudah untuk melakukan risk assessment . Dari hasil risk assesment ini akan diketahui
bagaimana gap dan resiko harus diatasi : diterima, ditransfer atau dimitigasi (diminimalkan
atau dihindari)
5/7/2018 Keamanan Cloud Computing - slidepdf.com
http://slidepdf.com/reader/full/keamanan-cloud-computing 5/6
Tata Kelola Cloud Computing kaitannya dengan Security
Sebagian dari penghematan biaya yang diperoleh oleh layanan Cloud Computing harus
diinvestasikan ke dalam pengawasan peningkatan kemampuan penyedia keamanan, aplikasi
kontrol keamanan, dan penilaian rinci berkelanjutan serta IT Security audit, untuk
memastikan persyaratan terus terpenuhi.
Baik pengguna dan penyedia layanan harus mengembangkan tata kelola keamanan informasi
yang baik, tanpa melihat model layanan dan deploymentnya. Tata Kelola keamanan
informasi haruslah berupa kolaborasi antara pelanggan dan penyedia layanan untuk mencapai
tujuan yang telah disepakai yang mendukung misi bisnis dan program keamanan informasi.
Model layanan bisa disesuaikan berdasarkan peran dan tanggung jawab masing-masing
(pengguna dan penyedia) sementara itu model implementasi bisa dicek dalam hal
akuntabilitas dan expektasi (berdasarkan risk assesment).
Organisasi pengguna harus memasukan review dari tata kelola keamanan informasi sebagai
bagian dari rencana perusahaan ke depan. Penyedia layanan harus di-asses dalam hal prosesdan kemampuannya untuk kecukupan, kematangan dan konsistensi dengan proses
manajemen keamanan informasi yan dipunyai user. Pengendalian keamanan informasi dari
penyedia layanan harus bisa mengatasi resiko cloud dan secara jelas mendukung proses
manajemen dari user.
Kolaborasi struktur tata kelola dan proses antara pelanggan dan penyedia layanan harus
dijadikan sebuah kebutuhan yang menjadi bagian dari desain dan pengembangan layanan,
serta ke depan risk assesment dan risk management protocol dapat dimasukkan ke SLA.
Bagian Keamanan harus diaktifkan selama proses implementasi SLA dan kewajiban kontrak,
untuk memastikan persyaratan keaamanan secara kontrak dapat dilaksanakan.
Standar untuk pengukuran performa dan ke-efektifan manajemen keamanan informasi harus
diadakan untuk persiapan perpindahan ke cloud.
Standar keamananan dan security metrics (yang berhubungan dengan aturan hukum dan
persyaratan kepatuhan) harus dimasukkan dalam SLA dan kontrak. Standar-standar ini harus
didokumentasikan dan diaudit secara berkala.
Kesimpulan :
1. Security masih menjadi isu penting dalam cloud computing
2. Kalau harga cloud sudah semakin murah, maka orang-orang akan menggunakannnya
3. Masalah utamanya ada di detail nya (hop yang dilewati, enkripsi,dll)
4. Yang paling aman dan sedikti resiko adalah menggunakan private cloud, tetapi
kendala ada pada investasi yang mahal
5. Hybrid Cloud bisa dipertimbangkan sebagai alternatif penggunaan cloud yang aman
(baik IaaS, PaaS maupun SaaS) terutama yang berkaitan dengan data-data penting
yang ada di perusahaan.
6. Public Cloud hendaknya tidak digunakan untuk dilewati atau diproses menggunakan
data-data penting yang riskan (data perusahaan ,pemerintah,dll), gunakan hanya untuk data yang tidak beresiko (pendidikan,hiburan,umum,pribadi,dll).
5/7/2018 Keamanan Cloud Computing - slidepdf.com
http://slidepdf.com/reader/full/keamanan-cloud-computing 6/6
Referensi :
Isaca.org. (2010). Security Guidance for Critical Areas of Focus in Cloud Computing
v2.1.Dipetik November 11, 2010,www.isaca.org
Isaca.org. (2010). Across Cloud Computing governance and risks May 2010.Dipetik November 11, 2010,www.isaca.org
Isaca.org. (2010). Security Guidance for Critical Areas of Focus in Clound
Computing.Dipetik November 11, 2010,www.isaca.org
Kistijantoro, Achmad Iman (2010). Cloud Computing & Reliability. Seminar Inovasi Cloud
Computing.
Rahardjo, Budi. (2010).Cloud Computing Security. Seminar Inovasi Cloud Computing.
http://teknoinfo.web.id/teknologi-cloud-computing/
http://uswahtech.uswah.net/berita-196-mengenal-teknologi-cloud-computing.html
http://www.tempointeraktif.com/hg/it/2009/08/25/brk,20090825-194235,id.html
http://www.detikinet.com/read/2010/02/24/084138/1305595/328/lebih-jauh-mengenal-
komputasi-awan
http://www.detikinet.com/read/2010/03/03/091126/1309948/328/lebih-jauh-mengenal-
komputasi-awan–2-