Cloud dan Security, dua kata yang sejak lama selalu sulit untuk “disatukan” dalam dunia teknologi. Ini pula yang terjadi saat ini dimana ketika kita berbicara tentang Cloud Computing selalu berfikir dan mengaitkannya dengan issue Security, bahkan sebagian orang langsung beranggapan bahwa Cloud Computing tidak “Aman”. Jadi, apakah cloud computing aman ?
Salah satu issue pada Cloud Computing adalah aksesibilitas, data di Cloud Computing lebih mudah diakses oleh “siapa saja”, bukan hanya Perusahaan. Attacker atau Black Hacker jika melakukan attack terhadap Cloud Computing maka akan lebih banyak mendapatkan data atau resource dari pada melakukan attack terhadap IT Tradisional.
Cloud Computing : Get to Know More
Memahami tentang Cloud Computing & Security adalah penting sebelum kita berbicara bahwa Cloud Computing tidak “aman”, memahami Cloud Computing & Security juga akan memberikan gambaran bagi Anda dan Perusahaan untuk menentukan solusi yang tepat dalam memilih layanan Cloud Computing dari perspektif Security.
Security Controls pada Cloud Computing sebagian besar tidak berbeda dari environment IT pada umumnya. Namun karena layanan Cloud Computing yang digunakan, model operasional dan teknologi cloud, maka resiko yang ditimbulkannya berbeda dari environment IT Tradisional.
Secara garis besarnya menentukan tingkat Security baik itu pada Cloud Computing atau IT Tradisional dapat dilihat dari Security yang diterapkan. Apakah Security Control diterapkan pada satu atau beberapa layer / lapisan mulai dari fasilitas (physical security), sistem (system security), data (data security), aplikasi (application security), network (network security). Selain itu Security Control juga diterapkan pada manajemen dan proses-nya seperti pemisahan tugas pada masing-masing fungsionalnya.
Pada Cloud Computing dalam pandangan saya ada satu layer / lapisan lain yaitu virtualisasi (virtualization security), yang mana ini bisa juga disebut atau termasuk dalam sistem (system security).
Hal yang perlu digaris bawahi adalah:
Pada Cloud Computing mengintegrasikan berbagai element infrastruktur, oleh karena itu untuk memberikan tingkat Security yang konsisten diberbagai entitas merupakan tantangan yang sangat besar. Pada environment IT Tradisional, Administrator memiliki kontrol penuh terhadap seluruh infrastruktur, dimana hal ini tidak terjadi di environment Cloud Computing, sedangkan pada Cloud Computing memiliki kontrol yang sangat beragam hal ini menjadi kompleksitas dalam memastikan tingkat Security.
Untuk Perusahaan atau organisasi yang baru pertamakali mengenal Cloud Computing,mengetahui hal berikut untuk menghindari persepsi yang salah atau mengalami kebingunan.
Perception To Minimize Confusion
• Provider Cloud Computing dideskripsikan berdasarkan bagaimana cara layanan tersebut disediakan. Public atau Private Cloud dapat digambarkan sebagai External dan Internal, dimana hal ini tidak selamanya benar bergantung dari situasinya.
• Cara dimana layanan Cloud Computing digunakan sering digambarkan relatif terhadap pengelolaannya oleh Perusahaan dan Security Perimeter. Selain itu penting untuk memahami batas-batas dari tingkat Security-nya.
Dalam pandangan Security pada Cloud Computing seharusnya tidak hanya dalam konteks “External” dan “Internal”, yang berkaitan dengan lokasi dari aset fisik, resource dan informasi; namun harus diperhatikan juga oleh siapa “mereka” sedang “dikonsumsi”; siapa yang bertanggungjawab pada tata kelola “mereka”, keamanan dan kepatuhan terhadap kebijakan dan standar.
Hal ini tidak berarti bahwa on-premise / IT Tradisional, pisikal aset, resource dan informasi tidak mempengaruhi resiko dari Security.
What needs to be underlined is that the risk of security also depends on:
• Type dari asset, resource dan informasi yang kelola.
• Siapa yang mengelola dan bagaimana pengelolaannya.
• Bagaimana kontrol dan integrasinya.
• Kepatuhan terhadap setiap kebijakan dan standar yang ada.
Hal kecil dan mendetail yang terkadang lepas dari perhatian proteksi security padahal itu adalah sebagian besar menjadi jalan utama bagi para Attacker/Black Hacker adalah Layer Aplikasi.
Tidak sedikit environment IT on-premise / Cloud Computing yang sudah berinvestasi cukup besar untuk melakukan Proteksi Security, tapi melupakan atau tidak terlalu memperhatikan layer aplikasi.
Cara berfikir Attacker/Black Hacker “berbeda”, mereka terkadang tidak memperdulikan environment IT yang digunakan baik itu IT Tradisional / Cloud Computing, karena tujuannya adalah mendapatkan informasi sebanyak mungkin untuk dapat melakukan “full take over” sebuah environment IT.
Kesimpulan:
Untuk Cloud Computing tidak bisa dikatakan “tidak aman”, karena pada dasarnya baik itu environment IT Tradisional/on-permise atau Cloud Computing, bisa dipastikan aman jika semua aspek dalam Security terpenuhi dengan baik dan benar.
Indonesian Cloud Computing (Cloud Provider) How do we secure.
Established in 2011, IndonesianCloud is an independent cloud service provider (CSP), specializing in the delivery of managed IT services based around the principle of “on- demand, dynamic, and pay-per-use.
Provider IndonesianCloud strives to be Indonesia’s most trusted, most reliable, and most secure local cloud service provider. We achieve this by implementing the best, independently certified technology, engaging with only the very best suppliers, hiring the best people, and deploying our cloud platform in the highest security datacenters in Indonesia.
IndonesianCloud services are part of a complete portfolio of IT solutions including infrastructure, business solutions, and consulting.
Our Security Model
Untuk memastikan setiap aspek dalam security sebagai cloud service provider, kami menerapkan CIA Security Model (Confidentiality, Integrity, Availability). Dengan menerapkan CIA, kami berusaha untuk menjamin tingkat security yang kami berikan semaksimal mungkin.
CIA Security Model
Confidentiality, dimana hanya yang memiliki hak/kewenangan (authorized) baik itu orang, proses, atau sistem yang memiliki akses terhadap informasi dan setiap informasi dipastikan diproteksi dari “disclosure” (e.g. hacking, attack).
Integrity, dimana setiap informasi atau sistem akan diproteksi dari setiap perubahan yang dilakukan secara tidak sah (unauthorized) yang disengaja atau tidak disengaja (e.g. hacking, attack).
• Data Integrity setiap informasi dipastikan diproteksi agar informasi secara keseluruhan dapat dipercaya, konsisten dan akurat.
• System Integrity setiap sistem dipastikan bekerja sesuai dengan fungsinya.
Availability, dimana setiap informasi dan sistem dipastikan beroperasi dan tersedia setiap saat.
Penerapan dari CIA Security Model didukung dengan lima prinsip lainnya untuk memastikan environment Cloud Computing IndonesianCloud memiliki tingkat security yang maksimal.
1. Accountability
2. Authentication
3. Authorization
4. Accounting
5. Assurance
Untuk mendukung CIA Security Model, IndonesianCloud mengimplementasikan Security
Architecture untuk memastikan semua aspek dan proses dari CIA Security Model.
Security Architecture
Sebagai penutup, kita perlu mengerti bahwa Security adalah hal yang dinamis dimana tidak ada jaminan 100% ! jika kita berbicara tentang Security. Tapi semaksimal mungkin kita memberikan tingkat Security untuk memastikan tingkat Security yang kuat !.
Berikut penjelasan dari kami. Jika Ingin membaca artikel lainnya seputar teknologi atau ingin informasi lebih lanjut mengenai produk dari Indonesian Cloud, Anda dapat mengunjungi laman website kami Indonesiancloud.com, dan website VPS kami cloudhostingaja.com. Sampai jumpa di artikel lainnya.
Herwono W Wijaya – Security & Virtualization Consultant @IndonesianCloud