Internet mengubah cara
kita berinteraksi, melakukan pekerjaan, dan memberikan layanan. Semakin
berkembangnya popularitas internet dan web, mendorong semakin banyaknya teknologi mobile
computing yang canggih. Dalam
hal ini, cloud computing menjadi salah satu teknologi yang ikut berkembang
cepat. (Rajan,
Avinash, Manoranjan, 2014)
Menurut US National
Institute of Standards and Technology (NIST), cloud computing didefinisikan
sebagai: model yang memberikan kenyamanan, akses jaringan pada sumber komputasi
(jaringan, server, storage, aplikasi, dan layanan) sesuai kebutuhan yang dapat
dipakai secara cepat dengan upaya manajemen atau interaksi penyedia layanan yang
minimal. (Peter, Timothy, 2011)
Cloud computing mempunyai
3 model layanan (ISACA, 2014):
1. Infrastructure-as-a-Service (IaaS)
Model cloud ini menyediakan kapabilitas untuk
menyediakan kemampuan proses, tempat penyimpanan jaringan, dan komponen
komputasi penting lainnya bagi pelanggan untuk menjalankan software (berupa
sistem operasi maupun aplikasi-aplikasi).
2. Platform-as-a-Service (PaaS)
Model cloud ini menyediakan tempat pengembangan
aplikasi di cloud yang menyediakan kemampuan bagi pelanggan untuk
mengembangkan, memperoleh, atau menjalankan aplikasi-aplikasi yang
dikembangkan dengan bahasa pemrograman dan alat-alat yang disediakan oleh
penyedia layanan cloud.
3. Software-as-a-Service (SaaS)
Model cloud ini menyediakan aplikasi berbasis cloud
yang disediakan penyedia layanan cloud yang dapat digunakan banyak
individu-individu atau perusahaan-perusahaan. Contoh SaaS yang popular antara
lain Gmail, Yahoo, SalesForce.com, dan sebagainya.
Ketiga model layanan cloud tersebut ditawarkan ke
pelanggan dalam 4 model deployment cloud (ISACA, 2014):
1. Private cloud
Model cloud ini digunakan oleh satu organisasi untuk
menyediakan layanan cloud bagi beberapa departemen atau divisi di organisasi
tersebut.
2. Public cloud
Model cloud dimana penyedia layanan cloud menawarkan
aplikasi berbasis cloud, kemampuan proses, dan penyimpanan data.
3. Community cloud
Model cloud yang private dan juga public dimana
penyedia layanan cloud menyediakan alat-alat cloud dan aplikasi-aplikasi yang
spesifik untuk kebutuhan suatu komunitas.
4. Hybrid cloud
Model cloud yang berupa kombinasi antara 2 atau lebih
model deployment cloud dimana model ini mendayagunakan kelebihan dari
masing-masing model tersebut untuk menyediakan pengalaman pelanggan yang
optimal.
Selain memberikan banyak
manfaat, penggunaan cloud computing juga memberikan tantangan/isu. Berdasarkan
survey IDC pada tahun 2009 mengenai tantangan/isu pada cloud computing, isu
keamanan menduduki peringkat pertama dan menjadi tantangan terbesar. Hasil
survey-nya dapat dilihat pada gambar di bawah ini.
 |
| IDC IT Cloud Services Survey (Frank, 2009) |
Isu/risiko keamanan ini
bisa berdampak pada kerugian finansial, penurunan produktifitas, mengakibatkan
denda, menurunkan reputasi/kepercayaan pelanggan, dan sebagainya. Oleh karena
itu, diperlukan analisis risiko-risiko apa saja pada penggunaan cloud computing
dan juga mitigasinya.
Dari hasil penelitian
Cloud Security Alliance, terdapat 7 ancaman besar pada cloud computing (Pallavi, 2012):
1. Penggunaan cloud
computing yang disalahgunakan dan untuk kejahatan
Mitigasinya dengan
memperketat proses registrasi dan pemantauan traffic jaringan.
2. Application Programming
Interface (API) yang tidak aman
Mitigasinya dengan
analisis penghubungnya dan kualitas implementasi mekanisme keamanannya, seperti
autentifikasi, akses control, dan enkripsi.
3. Orang dalam yang jahat
Mitigasinya dengan
menggunakan access control dimana akses ke sumber dibatasi dan dibuat seminimal
mungkin sesuai fungsi dan perannya.
4. Kerentananan teknologi
yang dibagi
Mitigasinya dengan
memantau dan mengaplikasikan mekanisme keamanan yang digunakan.
5. Kehilangan data
Mitigasinya dengan
pemulihan bencana dan cadangannya.
6. Pembajakan akun, layanan,
dan traffic
Mitigasinya dengan
menggunakan teknik autentifikasi dan kebijakan keamanan yang kuat.
7. Profil risiko yang tidak
diketahui
Mitigasinya dengan melakukan manajemen risiko secara berkala.
Selain mengetahui risiko beserta mitigasinya,
organisasi sebaiknya mempunyai panduan keamanan cloud. Menurut Cloud Customer
Council (2012), terdapat terdapat 10 panduan keamanan cloud untuk memastikan
keberhasilan penggunaan cloud computing:
1. Memastikan keefektifan
tata kelola, risiko dan juga kepatuhan pada proses yang ada
Dalam hal ini, organisasi
perlu memastikan data mereka yang di cloud diamankan sesuai dengan
kebijakan-kebijakan keamanan yang sudah disetujui antara penyedia layanan cloud dan organisasi
tersebut.
2. Mengaudit proses bisnis
dan operasinya
Organisasi mengerti akan
pentingnya audit pada teknologi informasi cloud yang mereka gunakan. Untuk itu,
organisasi perlu memastikan penyedia layanan cloud tersebut dapat memberikan
laporan mengenai kejadian yang berhubungan dengan data dan aplikasi spesifik
organisasinya.
3. Mengelola orang, peran,
dan identitasnya
Organisasi perlu
mengelola akses sesuai dengan peran penggunanya dengan baik. Disamping itu,
organisasi perlu memastikan penyedia layanan cloud mempunyai sistem yang aman
untuk proses pengelolaan identitas orang dan layanannya.
4. Memastikan perlindungan
pada data dan informasi
Organisasi perlu
memastikan siapa yang bertanggung jawab untuk keamanan data dan informasi
mereka. Untuk cloud model IaaS, tanggung
jawab lebih besar kepada pelanggan. Untuk cloud model SaaS, tanggng jawab lebih
besar kepada penyedia layanan cloud. Organisasi juga perlu mempertimbangkan
teknik keamanan seperti apa yang perlu diimplementasikan pada teknologi yang
mereka pakai.
5. Menjalankan
kebijakan-kebijakan yang bersifat rahasia
Dalam hal ini, organisasi
bertanggung jawab dalam mendifinisikan kebijakan-kebijakan yang bersifat
rahasia dan membangun kesadaran untuk perlindungan data pada organisasi mereka.
Mereka juga bertanggung jawab untuk memastikan penyedia layanan cloud mereka
mengerti kebijakan keamanan yang sudah ditetapkan. Oleh karena itu, organisasi
wajib mengawasi penyedia layanan cloud mereka dalam mematuhi
kebijakan-kebijakannnya.
6. Mengkaji ketentuan
keamananan untuk aplikasi-aplikasi cloud
Sangatlah penting bagi
organisasi untuk mengerti ketentuan keamanan untuk setiap jenis model cloud
demi melindungi berbagai tipe aplikasi-aplikasi cloud yang mereka gunakan.
Mereka perlu mempertimbangkan keamanan disisi fasilitas, jaringan, data, dan
lain-lain.
7. Memastikan jaringan cloud
dan koneksinya aman
Organisasi harus
mengevaluasi pengendalian jaringan internal penyedia layanan cloud sesuai
kebutuhan mereka dan kebijakan-kebijakan keamanan yang ada. Begitupun untuk
jaringan eksternalnya, penyedia layanan cloud harus memblokir akses dari
eksternal yang jahat.
8. Mengevaluasi
pengendalian-pengendalian keamanan pada infrastruktur fisik dan
fasilitas-fasilitas
Yang penting untuk
dipertimbangkan organisasi adalah keamanan infrastruktur fisik dan
fasilitasnya. Oleh karena itu, organisasi perlu mamastikan penyedia layanan
cloud mempunyai pengendalian keamanan yang sesuai dengan standar keamanan yang
berlaku (misalnya standar keamanan ISO 27002).
9. Mengelola ketentuan-ketentuan
keamanan pada Service Level Agreement (SLA) cloud
Cloud computing
melibatkan 2 pihak, yaitu pelanggan cloud dan penyedia layanan cloud. Oleh
karena itu diperlukan adanya SLA yang disetujui oleh kedua pihak. SLA tersebut
harus mengspesifikasikan tanggung jawab keamanan antara kedua pihak.
10. Mengerti
kebutuhan-kebutuhan keamanan untuk proses berhenti
Organisasi perlu
memastikan tidak ada data/informasi yang tersimpan di penyedia layanan cloud
ketika organisasi tersebut berhenti menggunakan layanan cloud tersebut.
Selain memberikan banyak manfaat, penggunaan cloud computing juga memberikan tantangan/isu. Isu keamanan menduduki peringkat pertama dan menjadi tantangan terbesar. Isu keamanan ini bisa memberikan risiko seperti kerugian finansial, penurunan produktifitas, mengakibatkan denda, menurunkan reputasi/kepercayaan pelanggan, dan sebagainya. Oleh karena itu, pengguna cloud computing sebaiknya menganalisis risiko-risiko apa saja pada penggunaan cloud computing dan juga bagaimana mitigasinya. Dengan mengetahui risiko-risiko beserta mitigasinya ditambah dengan mempunyai panduan keamanan mengenai cloud computing, organisasi diharapkan mampu mengelola dan meningkatkan keamanan data/informasinya di cloud.
Daftar Pustaka:
Cloud Standards Customer Council. 2012. Security for Cloud Computing.
Gens, Frank. 2009. New IDC IT Cloud Services Survey: Top Benefits and Challenges. doi: http://blogs.idc.com/ie/?p=730
ISACA. 2014. CONTROLS AND ASSURANCE IN THE CLOUD.
Mell, Peter. Grance, Timothy. 2011. The NIST Definition of Cloud Computing.
Sidella, Pallavi. 2012. SECURITY CONCERNS AND COUNTERMEASURES IN CLOUD.
Yadav, Rajan Kumar. Thakur, Avinash, Kumar, Manoranjan. 2014. Cloud Computing: Environment of Next Generation Technology.
No comments:
Post a Comment