Cloud security adalah sebuah sub-domain yang berkembang dari keamanan komputer, keamanan jaringan, dan lebih luas lagi, keamanan informasi. Hal ini mengacu pada serangkaian kebijakan, teknologi, dan kontrol yang digunakan untuk melindungi data, aplikasi, dan infrastruktur terkait cloud computing.
Masalah Keamanan Terkait Cloud Computing
Ada sejumlah isu keamanan / masalah yang terkait dengan cloud computing, tetapi masalah ini terbagi dalam dua kategori besar: Masalah keamanan yang dihadapi oleh penyedia cloud (organisasi yang menyediakan software-, platform-, atau infrastruktur-as-a-service melalui cloud) dan masalah keamanan yang dihadapi oleh pelanggan mereka.
Dalam kebanyakan kasus, penyedia harus memastikan bahwa infrastruktur mereka aman dan bahwa data klien mereka dan aplikasi dilindungi, sementara pelanggan harus memastikan bahwa penyedia telah mengambil langkah-langkah keamanan yang tepat untuk melindungi informasi mereka.
Dalam kebanyakan kasus, penyedia harus memastikan bahwa infrastruktur mereka aman dan bahwa data klien mereka dan aplikasi dilindungi, sementara pelanggan harus memastikan bahwa penyedia telah mengambil langkah-langkah keamanan yang tepat untuk melindungi informasi mereka.
Cloud Security Control
Arsitektur keamanan cloud hanya efektif jika implementasi defensif yang benar berada pada tempatnya. Sebuah arsitektur keamanan cloud yang efisien harus mengenali masalah yang akan timbul dengan manajemen keamanan. Manajemen keamanan membahas masalah ini dengan kontrol keamanan. Kontrol ini diletakkan di tempatnya untuk menjaga setiap kelemahan dalam sistem dan mengurangi efek serangan. Meskipun ada banyak jenis kontrol balik arsitektur keamanan cloud, mereka biasanya dapat ditemukan dalam salah satu kategori berikut:
1. Deterrent Controls (Kontrol penangkal)
Kontrol ini ditetapkan untuk mencegah serangan terarah pada sistem cloud. Sama seperti tanda peringatan pada pagar atau properti, kontrol ini tidak mengurangi kerentanan yang sebenarnya dari suatu sistem.
Kontrol ini ditetapkan untuk mencegah serangan terarah pada sistem cloud. Sama seperti tanda peringatan pada pagar atau properti, kontrol ini tidak mengurangi kerentanan yang sebenarnya dari suatu sistem.
2. Preventive Controls (Kontrol Pencegahan)
Kontrol ini meningkatkan kekuatan sistem dengan mengelola kerentanan. Kontrol preventif akan menjaga kerentanan sistem. Jika serangan itu terjadi, kontrol pencegahan berada di tempat untuk menutupi serangan dan mengurangi kerusakan dan pelanggaran keamanan sistem.
Kontrol ini meningkatkan kekuatan sistem dengan mengelola kerentanan. Kontrol preventif akan menjaga kerentanan sistem. Jika serangan itu terjadi, kontrol pencegahan berada di tempat untuk menutupi serangan dan mengurangi kerusakan dan pelanggaran keamanan sistem.
3. Corrective Controls (Kontrol korektif)
Kontrol korektif digunakan untuk mengurangi efek dari serangan. Berbeda dengan kontrol pencegahan, kontrol mengambil tindakan korektif ketika serangan terjadi.
Kontrol korektif digunakan untuk mengurangi efek dari serangan. Berbeda dengan kontrol pencegahan, kontrol mengambil tindakan korektif ketika serangan terjadi.
4. Detective Controls (Detektif Kontrol)
Detektif kontrol digunakan untuk mendeteksi adanya serangan yang mungkin terjadi ke sistem. Pada saat terjadi penyerangan, kontrol detektif akan memberi sinyal kontrol preventif atau korektif untuk mengatasi masalah tersebut.
Detektif kontrol digunakan untuk mendeteksi adanya serangan yang mungkin terjadi ke sistem. Pada saat terjadi penyerangan, kontrol detektif akan memberi sinyal kontrol preventif atau korektif untuk mengatasi masalah tersebut.
Dimensi Keamanan Cloud
Kontrol keamanan yang tepat harus dilaksanakan sesuai dengan matriks aset, ancaman, dan kerentanan penilaian risiko. Masalah keamanan cloud dapat dikelompokkan ke dalam sejumlah dimensi. Dimensi ini telah dikumpulkan ke dalam tiga bidang umum, yaitu :
Keamanan dan Privasi
1. Identity Management (Manajemen Identitas)
Setiap perusahaan akan memiliki identify management sendiri untuk mengontrol akses ke sumber daya informasi dan komputasi. Penyedia cloud baik mengintegrasikan sistem manajemen identitas pelanggan dalam infrastruktur mereka sendiri, menggunakan federasi atau teknologi SSO, atau memberikan solusi manajemen identitas mereka sendiri.
2. Physical and personnel security (Fisik dan Personil Keamanan)
Penyedia memastikan bahwa mesin fisik yang cukup aman dan bahwa akses ke mesin-mesin serta semua data pelanggan yang relevan tidak hanya terbatas tetapi akses yang didokumentasikan.
3. Availability (Ketersediaan)
Penyedia cloud meyakinkan pelanggan bahwa mereka akan memiliki akses teratur dan dapat diprediksi untuk data dan aplikasi.
4. Application Security (Aplikasi Keamanan)
Penyedia cloud memastikan bahwa aplikasi yang tersedia sebagai layanan melalui cloud yang aman dengan menerapkan prosedur pengujian dan penerimaan untuk kode aplikasi outsourcing atau packaged application code. Hal ini juga membutuhkan aplikasi keamanan berada di dalam lingkungan produksi.
5. Privacy (Privasi)
Penyedia memastikan bahwa semua data penting (nomor kartu kredit, misalnya) yang ditutupi dan bahwa hanya pengguna yang berwenang memiliki akses ke data secara keseluruhan. Selain itu, identitas digital dan penting harus dilindungi sebagaimana mestinya data yang dikumpulkan penyedia.
Penyedia memastikan bahwa semua data penting (nomor kartu kredit, misalnya) yang ditutupi dan bahwa hanya pengguna yang berwenang memiliki akses ke data secara keseluruhan. Selain itu, identitas digital dan penting harus dilindungi sebagaimana mestinya data yang dikumpulkan penyedia.
6. Legal Issues (Masalah Hukum)Selain itu, penyedia dan pelanggan harus mempertimbangkan masalah hukum, seperti Kontrak dan E-Discovery, dan hukum yang terkait, yang mungkin berbeda menurut negara.
Compliance (Kepatuhan)
Hal ini berkaitan dengan penyimpanan dan penggunaan data, termasuk Data Industri Kartu Pembayaran Standar Keamanan (PCI DSS), Asuransi Kesehatan Portabilitas dan Akuntabilitas Act (HIPAA), Sarbanes-Oxley Act, dan sebagainya. Banyak peraturan yang mengharuskan adanya pelaporan rutin dan dilakukannya audit. Penyedia cloud harus memungkinkan pelanggan mereka untuk mematuhi tepat dengan peraturan.
1. Business continuity and data recovery (Bisnis kontinuitas dan pemulihan data)
Penyedia cloud harus memiliki plan dalam business continuity dan data recovery untuk memastikan layanan bisa dijaga apabila terjadi kasus bencana atau keadaan darurat dan bahwa setiap kehilangan data akan pulih. Rencana ini akan diberitahukan kepada pelanggan.
Penyedia cloud harus memiliki plan dalam business continuity dan data recovery untuk memastikan layanan bisa dijaga apabila terjadi kasus bencana atau keadaan darurat dan bahwa setiap kehilangan data akan pulih. Rencana ini akan diberitahukan kepada pelanggan.
2. Logs and audit trails (Log dan jejak audit) Penyedia cloud bekerja sama dengan pelanggan mereka untuk memastikan bahwa jejak log dan audit sistem keamanan telah bekerja dengan baik, dipelihara selama pelanggan membutuhkan, dan dapat diakses untuk keperluan penyelidikan forensik (misalnya, eDiscovery) .
3. Unique compliance requirements (Persyaratan kepatuhan yang unik)
Data pusat yang dikelola oleh penyedia cloud juga dapat dikenakan persyaratan kepatuhan. Menggunakan penyedia layanan cloud (Cloud Service Provider) dapat menyebabkan masalah keamanan tambahan sekitar yurisdiksi data sejak pelanggan atau penyewa data tidak berada pada sistem yang sama, atau di pusat data yang sama atau bahkan dalam cloud operator yang sama itu.
Data pusat yang dikelola oleh penyedia cloud juga dapat dikenakan persyaratan kepatuhan. Menggunakan penyedia layanan cloud (Cloud Service Provider) dapat menyebabkan masalah keamanan tambahan sekitar yurisdiksi data sejak pelanggan atau penyewa data tidak berada pada sistem yang sama, atau di pusat data yang sama atau bahkan dalam cloud operator yang sama itu.
Legal and Contractual Issues (Masalah Hukum dan Kontrak)
Selain masalah keamanan dan kepatuhan disebutkan di atas, cloud provider dan pelanggan mereka akan menegosiasikan hal sekitar kewajiban (menetapkan bagaimana insiden yang melibatkan hilangnya data atau kompromi akan diselesaikan, misalnya), kekayaan intelektual, dan akhir-of-service (ketika data dan aplikasi pada akhirnya dikembalikan kepada pelanggan).
1. Public record
Masalah hukum juga termasuk persyaratan records-keeping dalam sektor publik, di mana banyak lembaga diwajibkan oleh hukum untuk mempertahankan dan membuat catatan elektronik yang tersedia secara spesifik. Hal ini dapat ditentukan oleh undang-undang, atau hukum sehingga mungkin memerlukan lembaga untuk menyesuaikan diri dengan peraturan dan praktik yang ditetapkan oleh agensi records-keeping. Lembaga-lembaga publik yang menggunakan cloud computing dan storage harus memperhitungkan masalah ini.
Masalah hukum juga termasuk persyaratan records-keeping dalam sektor publik, di mana banyak lembaga diwajibkan oleh hukum untuk mempertahankan dan membuat catatan elektronik yang tersedia secara spesifik. Hal ini dapat ditentukan oleh undang-undang, atau hukum sehingga mungkin memerlukan lembaga untuk menyesuaikan diri dengan peraturan dan praktik yang ditetapkan oleh agensi records-keeping. Lembaga-lembaga publik yang menggunakan cloud computing dan storage harus memperhitungkan masalah ini.
