5/7/2018 Keamanan Cloud Computing - slidepdf.com

http://slidepdf.com/reader/full/keamanan-cloud-computing 1/6

 

Resiko Cloud Computing

Hadirnya semua kelebihan cloud ( No Investment, Opex lebih kecil, Pay as You go, fast 

deploy ) juga membawa banyak risiko. Ada beberapa pertanyaan yang mengemuka, seperti

misalnya :

1. Siapa yang berada di Cloud itu?

2. Siapa yang mengelola para partisipan di Cloud?

3. Siapa yang bertanggung jawab untuk masalah liability?

4. Bagaimana aturan main di dalam Cloud, yang melibatkan beberapa pihak?

5. Bagaimana model pengelolaan database dan informasi di Cloud?

Secara spesifik, calon pemakai jasa-jasa Cloud harus bertanya kepada penyedia jasa

cloud sbb :

1. Bagaimana data mereka dilindungi?

2. Bagaimana penyedia jasa mengatasi celah-celah ancaman (vulnerabilities)?

3. Bagaimana masalah gempuran dan pengeksploitasian ditekan ?

sebuah rantai tidak lebih kuat dari mata rantai yang paling lemah. Oleh sebab itu, Security di

Cloud adalah security semua pemakai jasa Cloud.

Agar aman di Cloud, perusahaan harus benar-benar yakin bahwa penyedia jasa tidak hanya

menjanjikan keamanan, tetapi juga harus membuktikannya.

Sementara semua orang begitu antusias tentang Cloud, mereka harus benar-benar

memperhitungkan kemungkinan kegagalan di Cloud karena Cloud berada di Internet dan

Internet bisa saja gagal. Apa yang dilakukan jika Internet mengalami kegagalan?Kebebasan untuk berpindah-pindah dari penyedia layanan yang satu ke yang lainnya juga

sangat penting, karena pengguna memiliki kebebasan untuk beralih ke penyedia yang

dipercaya. Jika penyedia layanan tidak handal, tidak dapat dipercaya dan memakan biaya

tinggi ataupun sulit untuk melakukan perubahan, maka pengguna akan terperangkap dalam

sistem yang tidak handal dan beresiko.

Sebagaimana yang dikatakan sebagai bisnis service, dengan teknologi cloud anda sebaiknya

mengetahui dan memastikan apa yang anda bayar dan apa yang anda investasikan

sepenuhnya memang untuk kebutuhan anda menggunakan service ini. Anda harus

memperhatikan pada beberapa bagian yaitu:

* Service level – Cloud provider mungkin tidak akan konsisten dengan performance dari

application atau transaksi. Hal ini mengharuskan anda untuk memahami service level yang

anda dapatkan mengenai transaction response time, data protection dan kecepatan data

recovery.

* Privacy - Karena orang lain / perusahaan lain juga melakukan hosting kemungkinan data

anda akan keluar atau di baca oleh pihak lain dapat terjadi tanpa sepengetahuan anda atau

approve dari anda.

* Compliance - Anda juga harus memperhatikan regulasi dari bisnis yang anda miliki,

dalam hal ini secara teoritis cloud service provider diharapkan dapat menyamakan level

compliance untuk penyimpanan data didalam cloud, namun karena service ini masih sangatmuda anda diharapkan untuk berhati hati dalam hal penyimpanan data.

5/7/2018 Keamanan Cloud Computing - slidepdf.com

http://slidepdf.com/reader/full/keamanan-cloud-computing 2/6

 

* Data ownership – Apakah data anda masih menjadi milik anda begitu data tersebut

tersimpan didalam cloud? mungkin pertanyaan ini sedikit aneh, namun anda perlu

mengetahui seperti hal nya yang terjadi pada Facebook yang mencoba untuk merubah terms

of use aggrement nya yang mempertanyakan hal ini.

* Data Mobility – Apakah anda dapat melakukan share data diantara cloud service? dan  jika anda terminate cloud relationship bagaimana anda mendapatkan data anda kembali?

Format apa yang akan digunakan ? atau dapatkah anda memastikan kopi dari data nya telah

terhapus

Untuk mengimplementasi teknologi cloud untuk data mereka dan menyimpan nya sebagai

fasilitas mereka sendiri untuk memastikan kebijakan perusahaan tersimpan dengan baik 

tentunya akan lebih baik, sehingga memastikan proses komputerasisasi pada cloud sebagai

sistem proses yang dibutuhkan akan lebih independen.

Langkah awal yang harus anda lakukan adalah mempelajari sistem kontrak dari cloud

service. pastikan setiap process menjadi simple, dapat berulang ulang dan menjadi nilai

tambah untuk bisnis anda.

Kedua, anda harus mengidentifikasi service apa yang dapat anda manfaatkan di dalam cloud

dan mana yang seharusnya bersifat internal. Hal ini sangat penting untuk anda ketahui

mengenai system dan service core yang dapat dimanfaatkan oleh bisnis anda. dan sebaiknya

anda mengkategorikan beberapa elemen bisnis anda berdasarkan resiko dari penggunaan

cloud service.

Langkah terakhir, anda harus melakukan strategi sourcing untuk mendapatkan biaya yang

sangat murah, namun memiliki scalability dan flexibility untuk kebutuhan bisnis anda. Hal ini

termasuk pertimbangan akan proteksi data ownership dan mobility, compliance dan beberapaelement seperti halnya kontrak IT tradisional.

Cloud Security

Ada 3 hal yang perlu diperhatikan :

1. Confidentiality

2. Integrity

3. Availability

Meliputi beberapa aspek sbb :

1. Autentifikasi2. Aspek Fisik 

3. Aspek Personel

4. Aspek Compliance

5. Aspek Legal

Kemungkinan serangan ada di setiap hop, Interupsi, intersep, modifikasi atau fabrikasi.

1. Akses menuju data harus dilindungi dari entiti yang tidak diinginkan

2. Cloud Riskan terhadap :

a. Intersepsi

b. Data yang disimpan di tempat yang tidak diketahui

c. Traffic Analysis ke arah intelejen bisnis

d.

5/7/2018 Keamanan Cloud Computing - slidepdf.com

http://slidepdf.com/reader/full/keamanan-cloud-computing 3/6

 

Salah satu cara proteksi yaitu menggunakan cryptography :

Untuk masalah Integrity (Integritas data penting) yang tidak boleh diubah dan dibaca

siapapun dalam perjalanannya ada beberapa solusi yang bisa diambil sbb :

1. Digital Signature

hash function.2. Message di-hash dan encrypt pada saat mengirim kemudian di de-crypt dan di-hash

lagi di penerima.

Mengenai Aspek Availability ada beberapa hal yang harus diperhatikan :

1. Pastikan data ada ketika dibutuhkan

2. Kemungkinan jenis serangan :

a. Interupsi

b. DOS

3. Perhatikan QOS dengan baik 

Solusi untuk aspek availability adalah sbb :

1. Gunakan Network redundancy

2. Harus memakai backup untuk data recovery

3. Business Continuity

Telaah Lebih Lanjut dari Cloud Security

Sumber : CSA Cloud Computing Security Guidance V.21

Produk cloud dipisahkan menjadi 3 bagian (public, private/community dan hybrid)sedangkan masing-masing produk dapat dianalisis oleh 4 komponen yaitu :

5/7/2018 Keamanan Cloud Computing - slidepdf.com

http://slidepdf.com/reader/full/keamanan-cloud-computing 4/6

 

1. Infrastrukturnya dimanaged oleh siapa ?

2. Infrastruktur dimiliki oleh siapa ?

3. Infrastruktur diletakkan dimana ?

4. Dan yang terakhir diakses dan dikonsumsi siapa ?

Dapat kita tarik kesimpulan bahwa layanan cloud yang paling aman yaitu layanan private

cloud , karena semua infra struktur dikelola, dimiliki dan diletakkan dalam area/wilayah

organisasi. Biasanya hanya organisasi besar saja yg mampu membuat private cloud, karena

investasinya cukup besar.

Untuk yang tidak mampu membuat private/community cloud, “terpaksa” harus memilih

public atau hybrid cloud, yang walaupun “relatif kurang aman” (berada di pihak ketiga) tapi

masih mampu untuk menyediakan layanan sesuai SLA dan QOS yang dijanjikan.

Pada gambar dibawah ini dapat kita lihat perbandingan dari standard compliance model (PCI,

HIPAA, SOX,dll) dibandingkan dengan security control model dan yang terjadi di cloud :

Sumber : CSA Cloud Computing Security Guidance V.21

Setelah dilakukan gap analysis dan review persyaratan dari semua regulator , akan lebih

mudah untuk melakukan risk assessment . Dari hasil risk assesment ini akan diketahui

bagaimana gap dan resiko harus diatasi : diterima, ditransfer atau dimitigasi (diminimalkan

atau dihindari)

5/7/2018 Keamanan Cloud Computing - slidepdf.com

http://slidepdf.com/reader/full/keamanan-cloud-computing 5/6

 

Tata Kelola Cloud Computing kaitannya dengan Security

Sebagian dari penghematan biaya yang diperoleh oleh layanan Cloud Computing harus

diinvestasikan ke dalam pengawasan peningkatan kemampuan penyedia keamanan, aplikasi

kontrol keamanan, dan penilaian rinci berkelanjutan serta IT Security audit, untuk 

memastikan persyaratan terus terpenuhi.

Baik pengguna dan penyedia layanan harus mengembangkan tata kelola keamanan informasi

yang baik, tanpa melihat model layanan dan deploymentnya. Tata Kelola keamanan

informasi haruslah berupa kolaborasi antara pelanggan dan penyedia layanan untuk mencapai

tujuan yang telah disepakai yang mendukung misi bisnis dan program keamanan informasi.

Model layanan bisa disesuaikan berdasarkan peran dan tanggung jawab masing-masing

(pengguna dan penyedia) sementara itu model implementasi bisa dicek dalam hal

akuntabilitas dan expektasi (berdasarkan risk assesment).

Organisasi pengguna harus memasukan review dari tata kelola keamanan informasi sebagai

bagian dari rencana perusahaan ke depan. Penyedia layanan harus di-asses dalam hal prosesdan kemampuannya untuk kecukupan, kematangan dan konsistensi dengan proses

manajemen keamanan informasi yan dipunyai user. Pengendalian keamanan informasi dari

penyedia layanan harus bisa mengatasi resiko cloud dan secara jelas mendukung proses

manajemen dari user.

Kolaborasi struktur tata kelola dan proses antara pelanggan dan penyedia layanan harus

dijadikan sebuah kebutuhan yang menjadi bagian dari desain dan pengembangan layanan,

serta ke depan risk assesment dan risk management protocol dapat dimasukkan ke SLA.

Bagian Keamanan harus diaktifkan selama proses implementasi SLA dan kewajiban kontrak,

untuk memastikan persyaratan keaamanan secara kontrak dapat dilaksanakan.

Standar untuk pengukuran performa dan ke-efektifan manajemen keamanan informasi harus

diadakan untuk persiapan perpindahan ke cloud.

Standar keamananan dan security metrics (yang berhubungan dengan aturan hukum dan

persyaratan kepatuhan) harus dimasukkan dalam SLA dan kontrak. Standar-standar ini harus

didokumentasikan dan diaudit secara berkala.

Kesimpulan :

1. Security masih menjadi isu penting dalam cloud computing

2. Kalau harga cloud sudah semakin murah, maka orang-orang akan menggunakannnya

3. Masalah utamanya ada di detail nya (hop yang dilewati, enkripsi,dll)

4. Yang paling aman dan sedikti resiko adalah menggunakan private cloud, tetapi

kendala ada pada investasi yang mahal

5. Hybrid Cloud bisa dipertimbangkan sebagai alternatif penggunaan cloud yang aman

(baik IaaS, PaaS maupun SaaS) terutama yang berkaitan dengan data-data penting

yang ada di perusahaan.

6. Public Cloud hendaknya tidak digunakan untuk dilewati atau diproses menggunakan

data-data penting yang riskan (data perusahaan ,pemerintah,dll), gunakan hanya untuk data yang tidak beresiko (pendidikan,hiburan,umum,pribadi,dll).

5/7/2018 Keamanan Cloud Computing - slidepdf.com

http://slidepdf.com/reader/full/keamanan-cloud-computing 6/6

 

Referensi :

Isaca.org. (2010). Security Guidance for Critical Areas of Focus in Cloud Computing

v2.1.Dipetik November 11, 2010,www.isaca.org

Isaca.org. (2010). Across Cloud Computing governance and risks May 2010.Dipetik November 11, 2010,www.isaca.org

Isaca.org. (2010). Security Guidance for Critical Areas of Focus in Clound 

Computing.Dipetik November 11, 2010,www.isaca.org

Kistijantoro, Achmad Iman (2010). Cloud Computing & Reliability. Seminar Inovasi Cloud 

Computing.

Rahardjo, Budi. (2010).Cloud Computing Security. Seminar Inovasi Cloud Computing.

http://teknoinfo.web.id/teknologi-cloud-computing/ 

http://uswahtech.uswah.net/berita-196-mengenal-teknologi-cloud-computing.html

http://www.tempointeraktif.com/hg/it/2009/08/25/brk,20090825-194235,id.html

http://www.detikinet.com/read/2010/02/24/084138/1305595/328/lebih-jauh-mengenal-

komputasi-awan

http://www.detikinet.com/read/2010/03/03/091126/1309948/328/lebih-jauh-mengenal-

komputasi-awan–2-