Apakah Penggunaan Cloud Aman?

Apakah Cloud Computing Aman?

Cloud dan Security, dua kata yang sejak lama selalu sulit untuk “disatukan” dalam dunia teknologi. Ini pula yang terjadi saat ini dimana ketika kita berbicara tentang Cloud Computing selalu berfikir dan mengaitkannya dengan issue Security, bahkan sebagian orang langsung beranggapan bahwa Cloud Computing tidak “Aman”. Jadi, apakah cloud computing aman ?

Salah satu issue pada Cloud Computing adalah aksesibilitas, data di Cloud Computing lebih mudah diakses oleh “siapa saja”, bukan hanya Perusahaan. Attacker atau Black Hacker jika melakukan attack terhadap Cloud Computing maka akan lebih banyak mendapatkan data atau resource dari pada melakukan attack terhadap IT Tradisional.

Cloud Computing : Get to Know More

Memahami tentang Cloud Computing & Security adalah penting sebelum kita berbicara bahwa Cloud Computing tidak “aman”, memahami Cloud Computing & Security juga akan memberikan gambaran bagi Anda dan Perusahaan untuk menentukan solusi yang tepat dalam memilih layanan Cloud Computing dari perspektif Security.

Security Controls pada Cloud Computing sebagian besar tidak berbeda dari environment IT pada umumnya. Namun karena layanan Cloud Computing yang digunakan, model operasional dan teknologi cloud, maka resiko yang ditimbulkannya berbeda dari environment IT Tradisional.

Secara garis besarnya menentukan tingkat Security baik itu pada Cloud Computing atau IT Tradisional dapat dilihat dari Security yang diterapkan. Apakah Security Control diterapkan pada satu atau beberapa layer / lapisan mulai dari fasilitas (physical security), sistem (system security), data (data security), aplikasi (application security), network (network  security).  Selain  itu  Security  Control  juga  diterapkan  pada  manajemen  dan proses-nya seperti pemisahan tugas pada masing-masing fungsionalnya.

Pada Cloud Computing dalam pandangan saya ada satu layer / lapisan lain yaitu virtualisasi (virtualization security), yang mana ini bisa juga disebut atau termasuk dalam sistem (system security).

Hal yang perlu digaris bawahi adalah:

Pada Cloud Computing mengintegrasikan berbagai element infrastruktur, oleh karena itu untuk memberikan  tingkat  Security  yang  konsisten  diberbagai  entitas  merupakan  tantangan yang sangat besar. Pada environment IT Tradisional, Administrator memiliki kontrol penuh terhadap  seluruh  infrastruktur,  dimana  hal  ini  tidak  terjadi  di  environment  Cloud Computing, sedangkan pada Cloud Computing memiliki kontrol yang sangat beragam hal ini menjadi kompleksitas dalam memastikan tingkat Security.

Untuk Perusahaan atau organisasi yang baru pertamakali mengenal Cloud Computing,mengetahui hal berikut untuk menghindari persepsi yang salah atau mengalami kebingunan.

Perception To Minimize Confusion

• Provider Cloud  Computing  dideskripsikan  berdasarkan  bagaimana  cara  layanan tersebut disediakan. Public atau Private Cloud dapat digambarkan sebagai External dan Internal, dimana hal ini tidak selamanya benar bergantung dari situasinya.

• Cara  dimana  layanan  Cloud  Computing  digunakan  sering  digambarkan  relatif terhadap pengelolaannya oleh Perusahaan dan Security Perimeter. Selain itu penting untuk memahami batas-batas dari tingkat Security-nya.

Dalam pandangan Security pada Cloud Computing seharusnya tidak hanya dalam konteks “External” dan “Internal”, yang berkaitan dengan lokasi dari aset fisik, resource dan informasi; namun harus diperhatikan juga oleh siapa “mereka” sedang “dikonsumsi”; siapa yang bertanggungjawab pada tata kelola “mereka”, keamanan dan kepatuhan terhadap kebijakan dan standar.

Hal ini tidak berarti bahwa on-premise / IT Tradisional, pisikal aset, resource dan informasi tidak mempengaruhi resiko dari Security.

What needs to be underlined is that the risk of security also depends on:

• Type dari asset, resource dan informasi yang kelola.

• Siapa yang mengelola dan bagaimana pengelolaannya.

• Bagaimana kontrol dan integrasinya.

• Kepatuhan terhadap setiap kebijakan dan standar yang ada.

Hal kecil dan mendetail yang terkadang lepas dari perhatian proteksi security padahal itu adalah sebagian besar menjadi jalan utama bagi para Attacker/Black Hacker adalah Layer Aplikasi.

Tidak  sedikit  environment  IT on-premise  /  Cloud  Computing  yang  sudah  berinvestasi cukup besar untuk melakukan Proteksi Security, tapi melupakan atau tidak terlalu memperhatikan layer aplikasi.

Cara berfikir Attacker/Black Hacker “berbeda”, mereka terkadang tidak memperdulikan environment  IT  yang  digunakan  baik  itu  IT  Tradisional  /  Cloud  Computing,  karena tujuannya adalah mendapatkan informasi sebanyak mungkin untuk dapat melakukan “full take over” sebuah environment IT.

Kesimpulan:

Untuk Cloud Computing tidak bisa dikatakan “tidak aman”, karena pada dasarnya baik itu environment IT Tradisional/on-permise atau Cloud Computing, bisa dipastikan aman jika semua aspek dalam Security terpenuhi dengan baik dan benar.

Indonesian Cloud Computing (Cloud Provider) How do we secure.

Established in 2011, IndonesianCloud is an independent cloud service provider (CSP), specializing in the delivery of managed IT services based around the principle of “on- demand, dynamic, and pay-per-use.

Provider IndonesianCloud strives to be Indonesia’s most trusted, most reliable, and most secure local cloud service provider. We achieve this by implementing the best, independently certified technology, engaging with only the very best suppliers, hiring the best people, and deploying our cloud platform in the highest security datacenters in Indonesia.

IndonesianCloud services are part of a complete portfolio of IT solutions including infrastructure, business solutions, and consulting.

Our Security Model

Untuk memastikan setiap aspek dalam security sebagai cloud service provider, kami menerapkan CIA Security Model (Confidentiality,  Integrity, Availability).  Dengan  menerapkan  CIA,  kami  berusaha  untuk menjamin tingkat security yang kami berikan semaksimal mungkin.

CIA Security Model

Cloud Computing CIA Security Model

Confidentiality, dimana hanya yang memiliki hak/kewenangan (authorized) baik itu orang, proses,  atau  sistem  yang  memiliki  akses  terhadap  informasi  dan  setiap  informasi dipastikan diproteksi dari “disclosure” (e.g. hacking, attack).

Integrity, dimana setiap informasi atau sistem akan diproteksi dari setiap perubahan yang dilakukan secara tidak sah (unauthorized) yang disengaja atau tidak disengaja (e.g. hacking, attack).

Data  Integrity  setiap  informasi  dipastikan  diproteksi  agar  informasi  secara keseluruhan dapat dipercaya, konsisten dan akurat.

System Integrity setiap sistem dipastikan bekerja sesuai dengan fungsinya.

Availability, dimana setiap informasi dan sistem dipastikan beroperasi dan tersedia setiap saat.

Penerapan dari CIA Security Model didukung dengan lima prinsip lainnya untuk memastikan  environment  Cloud  Computing  IndonesianCloud  memiliki  tingkat  security yang maksimal.

1.  Accountability

2.  Authentication

3.  Authorization

4.  Accounting

5.  Assurance

Untuk mendukung CIA Security Model, IndonesianCloud mengimplementasikan Security

Architecture untuk memastikan semua aspek dan proses dari CIA Security Model.

Security Architecture

Cloud Computing Security Architect

Sebagai penutup, kita perlu mengerti bahwa Security adalah hal yang dinamis dimana tidak ada jaminan 100% ! jika kita berbicara tentang Security. Tapi semaksimal mungkin kita memberikan tingkat Security untuk memastikan tingkat Security yang kuat !.

Berikut penjelasan dari kami. Jika Ingin membaca artikel lainnya seputar teknologi atau ingin informasi lebih lanjut mengenai produk dari Indonesian Cloud, Anda dapat mengunjungi laman website kami Indonesiancloud.com, dan website VPS kami cloudhostingaja.com. Sampai jumpa di artikel lainnya.

Herwono W Wijaya – Security & Virtualization Consultant @IndonesianCloud