ANALISIS RESIKO IMPLEMENTASI TEKNOLOGI CLOUD COMPUTING PADA INFRASTRUKTUR SAAS (SOFTWARE AS ASERVICE) Hendri, S.Kom, M.S.I Dosen Tetap STIKOM Dinamika Bangsa Jambi Email:
[email protected]
ABSTRAK
Penerapan teknologi Cloud Computing saat ini telah menjadi konsep bisnis yang menjanjikan sebagai salah satu segmen industri TI yang paling cepat berkembang. Banyak perusahaan semakin menyadari bahwa dengan memanfaatkan Software as Service (SaaS) pada Cloud Computing, mereka dapat memperoleh akses cepat ke aplikasi bisnis terbaik atau secara drastis meningkatkan sumber daya infrastruktur mereka, dan juga sekaligusmenekan biaya operasional, maintenance, dan biaya pembelian software. Tetapi karena semakin banyak informasi individu dan perusahaan disimpan pada Cloud, kekhawatiran mulai muncul tentang keamanan data yang ada pada Cloud.Manajemen resiko terhadap keputusan pemilihan pemanfaatan SaaS perlu dilakukan agar sebuah organisasi agar dapat memanfaatkan semaksimal mungkin keunggulan teknologi Cloud Computing tersebut. Analisis risiko membantu mengurangi ketidakpastian dalam pengambilan keputusan rasional, dan selama ketidakpastian ada dalam pengambilan keputusan, risiko mengevaluasi akan menjadi komponen penting dari proses pengambilan keputusan. Mengurangi ketidakpastian hanya dapat dilakukan dengan mencapai dan mengolah informasi lebih lanjut terhadap domain keputusan dalam inisiatif analisis risiko. Dalam penelitian ini akan dikaji lebih lanjut resikoresiko apa saja yang dapat timbul dalam penerapan Software As A Service (SaaS) sehingga diharapkan resiko ini dapat dikurangi. Kata Kunci : Cloud Computing, Software as a Service, Resiko
1.
PENDAHULUAN Penerapan teknologi Cloud Computing saat ini telah menjadi konsep bisnis yang menjanjikan sebagai salah satu segmen industri TI yang paling cepat berkembang. Banyak perusahaan semakin menyadari bahwa dengan memanfaatkan Software as Service (SaaS) pada Cloud Computing, mereka dapat memperoleh akses cepat ke aplikasi bisnis terbaik atau secara drastis meningkatkan sumber daya
Jurnal MEDIA SISFO Vol. 8, No.2, Juni 2013
infrastruktur mereka, dan juga sekaligus menekan biaya operasional, maintenance, biaya pembelian software dan biaya pemasangan alat yang realtif mahal.Tetapi karena semakin banyak informasi individu dan perusahaan disimpan pada Cloud, kekhawatiran mulai muncul tentang keamanan data yang ada pada Cloud. Manajemen resiko terhadap keputusan pemilihan pemanfaatan SaaS perlu dilakukan agar sebuah organisasi agar dapat
32
memanfaatkan semaksimal mungkin keunggulan teknologi Cloud Computing tersebut. Analisis risiko membantu mengurangi ketidakpastian dalam pengambilan keputusan rasional, dan selama ketidakpastian ada dalam pengambilan keputusan, risiko mengevaluasi akan menjadi komponen penting dari proses pengambilan keputusan. Mengurangi ketidakpastian hanya dapat dilakukan dengan mencapai dan mengolah informasi lebih lanjut terhadap domain keputusan dalam inisiatif analisis risiko. Dalam penelitian ini akan dikaji lebih lanjut resiko-resiko apa saja yang dapat timbul dalam penerapan Software As A Service (SaaS) sehingga diharapkan resiko ini dapat dikurangi. 2.
TINJAUAN PUSTAKA
2.1
Pengertian Cloud Computing
Cloud computing adalah kumpulan dari beberapa resources yang terintegrasi menjadi satu dan digunakan melalui web. Teknologi cloud computing ini didasarkan pada teknologi grid computing yang membuat skalabilitas suatu sistem komputasi menjadi sangat besar dengan cara menggabungkan beberapa sumber daya komputer menjadi satu resource.
Sedangkan menurut wikipedia, Komputasi awan (cloud computing) adalah gabungan pemanfaatan teknologi komputer ('komputasi') dan pengembangan berbasis Internet ('awan'). Awan (cloud) adalah metafora dari internet, sebagaimana awan yang sering digambarkan di diagram jaringan komputer. Sebagaimana awan dalam diagram jaringan komputer tersebut, awan (cloud) dalam Cloud Computing juga merupakan abstraksi dari infrastruktur kompleks yang disembunyikannya. Ia adalah suatu metoda komputasi di mana kapabilitas terkait teknologi informasi disajikan sebagai suatu layanan (as a service)sehingga pengguna dapat mengaksesnya lewat Internet. Komputasi awan merupakan suatu konsep umum yang mencakup SaaS, Web 2.0, dan tren teknologi terbaru lain yang dikenal luas, dengan tema umum berupa ketergantungan terhadap Internet untuk memberikan kebutuhan komputasi pengguna. Sebagai contoh, Google Apps menyediakan aplikasi bisnis umum secara daring yang diakses melalui suatu penjelajah web dengan perangkat lunak dan data yang tersimpan di server.
2.2
Model Layanan Cloud Computing
Model layanan Cloud Computing dapat dibagi menjadi 3 yaitu: 1. 2. 3.
Software as Service (SaaS) Platform as Service (PaaS) Infrastructure as Service (IaaS)
Gambar1. Infrastruktur Cloud Computing
Definisi yang saat ini paling banyak diterima untuk komputasi awan adalah seperti yangdikembangkan oleh National Institute of Standards and Technology (NIST):Cloud Computing – Adalah sebuah model yang memungkinkan kenyamanan, berdasarkan permintaan akses jaringan ke sumber daya komputasi yang telah dikonfigurasi bersama (misalnya, jaringan, server, penyimpanan, aplikasi, dan jasa) yang dapat dengan cepat ditetapkan dan dirilis dengan upaya manajemen atau interaksi dengan penyedia layanan secara minimal. Jurnal MEDIA SISFO Vol. 8, No.2, Juni 2013
33
Gambar 2. Model Layanan Cloud Computing 2.2.1 Software as Service (SaaS) Software as a service berarti aplikasi tersedia bagi user dalam bentuk layanan berbasis subscribtion sesuai kebutuhan user (on-demand).Jadi, dengan pengaplikasian model ini, user tidak perlu lagi membeli lisensi dan melakukan instalasi untuk sebuah aplikasi, tetapi cukup membayar biaya sesuai pemakainnya saja. Secara teknis, model aplikasi ini memanfaatkan web-based interface yang diakses melalui web browser dan berbasis teknologi Web 2.0 Contoh SaaS yaitu layanan CRM online Salesforce.com, Zoho.com, dengan harga yang sangat terjangkau, menyediakan layanan SaaS yang cukup beragam, mulai dari layanan word processor seperti Google Docs, project management, hingga invoicing online. Layanan akunting online pun tersedia, seperti yang diberikan oleh Xero.com dan masih banyak lagi.IBM dengan Lotuslive.com nya dapat dijadikan contoh untuk layanan SaaS di area kolaborasi/unified communication.Sayangnya untuk pasar dalam negeri sendiri, masih sangat sedikit yang mau ber investasi untuk menyediakan layanan SaaS ini.
IaaS adalah sebuah layanan yang "menyewakan" sumber daya teknologi informasi dasar, yang meliputi media penyimpanan, processing power, memory, sistem operasi, kapasitas jaringan danlain-lain, yang dapat digunakan oleh penyewa untuk menjalankan aplikasi yang dimilikinya. Model bisnisnya mirip dengan penyedia data center yang menyewakan ruangan untuk colocation,tapi ini lebih ke level mikronya. Penyewa tidak perlu tahu, dengan mesin apa dan bagaimana caranya penyedia layanan menyediakan layanan IaaS. Yang penting permintaan mereka atas sumber daya dasar teknologi informasi itu dapat dipenuhi. Perbedaan mendasar dengan layanan data center saat ini adalah IaaS memungkinkan pelanggan melakukan penambahan/pengurangan kapasitas secara fleksibel dan otomatis. Salah contoh adalah Amazon.com yang meluncurkan Amazon EC2 (Elastic Computing Cloud) yang menyediakan berbagai pilihan mulai CPU, media penyimpanan, dilengkapi dengan sistem operasi dan juga platform pengembangan aplikasi yang bisa disewa dengan perhitungan per jam.
2.3
Keuntungan Computing
Penggunaan
Cloud
2.2.2 Platform as a Service (PaaS) PaaS adalah layanan yang menyediakan modul-modul siap pakai yang dapat digunakan untuk mengembangkan sebuah aplikasi, yang hanya bisa berjalan diatas platform tersebut. Penguna PaaS tidak memiliki kendali terhadap sumber daya komputasi dasar seperti memory, media penyimpanan, processing power dan lain-lain, yang semuanya diatur oleh provider layanan ini. Contohnya adalah Google AppEngine, yang menyediakan berbagai tools untuk mengembangkan aplikasi di atas platform Google, dengan menggunakan bahasa pemrograman Phyton dan Django. Kemudian Salesforce melalui Force.com, menyediakan modul-modul untuk mengembangkan aplikasi diatas platform Salesforce yang menggunakan bahasa Apex.Facebook yang juga bisa dianggap menyediakan layanan PaaS, yang memungkinkan kita untuk membuat aplikasi diatasnya.
2.2.3 Infrastructure as a Service (IaaS) Jurnal MEDIA SISFO Vol. 8, No.2, Juni 2013
Keuntungan dari penggunaan cloud computing ini sangat banyak. Mulai dari kemudahan akses dimana aplikasi dan data dapat diakses kapanpun dan dimanapun.Demikian juga untuk urusan penghematan bagi perusahaan yang tidak perlu memikirkan untuk membeli sebuah komputer terbaru dengan memori yang besar beserta berbagai software pendukung. Cloud computing memiliki potensi untuk memperbaiki cara bisnis serta menawarkan kecepatan akses, fleksibilitas, skalabilitas dan efisiensi biaya. Terdapat 6 keuntungan dan manfaat dari penggunaan Cloud Computing yaitu: 1.
2.
Reduced Cost.Penggunaan teknologi cloud menghemat biaya dan lebih efisien dikarenakan menggunakan anggaran yang rendah untuk sumber daya dari sebuah organisasi dan juga membantu dalam menekan biaya operasi yang dikeluarkan oleh sebuah organisasidalam rangka meningkatkan reability dan kritikan sistem yang dibangun. Increased Storage.Sebuah Organisasi yang menggunakan Teknologi Cloud Computing 34
3.
4.
5.
6.
dapat menyimpan data lebih banyak dibandingkan pada private computer. Highly Automated maksudnya Seorang developer tidak perlu khawatir terhadap software agar tetap up to date. Flexibility maksudnya Cloud computing menawarkan lebih banyak lagi flexsibilitas dari metode computing yang lama dan dengan mudah dapat berorientasi pada profit dan perkembangan yang cepat berubah. More Mobility.Organisasi yang mempunyai pegawai/pengguna dapat mengakses informasi dimanapun mereka berada. Cloud dapat membuat manajemen dan operasional lebih mudah karena sistem pribadi atau organisasi yang terkoneksi dalam satu cloud sehingga dapat dengan mudah untuk memonitor dan mengaturnya. Allows IT to Shift Focus.Sebuah organisasi tidak perlu lagi mengkhawatirkan server yang harus di update.
Gambar 3 Grafik Keuntungan Cloud Computing
3.
PEMBAHASAN
3.1
Analisis Keamanan Cloud Computing
Semakin banyak perusahaan saat ini yang mengimplementasikan teknologi cloud computing karena melihat banyak sekali keuntungan dan manfaat dari Cloud Computing yang dapat menekan biaya penerapan TI yang relatif mahal dari instalasi, lisensi software, pemeliharaan. Tetapi dengan semakin banyaknya informasi yang mengalir pada cloud computing, menjadi topik yang menarik apabila kita menganalisis tentang keamanan data yang ada. Meskipun Cloud computing memberikan manfaat yang menarik dan hemat biaya serta memberikan berbagai pilihan penyimpanan data di bagian teknologi informasi untuk melakukan ekspansi, tetapi memberikan risiko dan peluang baru untuk eksploitasi bidang keamanan.Standar, kebijakan dan kontrol dibutuhkan untuk membantu manajemen dalam melindungi dan melakukan Jurnal MEDIA SISFO Vol. 8, No.2, Juni 2013
pengamanan data pada sistem. Manajemen harus memahami dan menganalisis resiko Cloud computinguntuk melindungi sistem dan data dari eksploitasi keamanan. Manajemen bertanggung jawab untuk menangani risiko keamanan untuk melindungi sistem dan data.Penerapan kebijakan dan prosedur terhadap pengendalian resiko Cloud Computing ini penting untuk menjamin kinerja dan keamanan data.Kebijakan dan prosedur harus didasarkan pada praktek terbaik dan harus selaras antara bisnis dan tujuan TI.Identifikasi risiko dan analisis penting untuk memprioritaskan pelaksanaan (jangkauan dan time frame) penataan dan kontrol, serta untuk membangun ruang audit untuk meninjau penerapan Cloud Computing. Berdasarkan identifikasi dan analisis risiko, kontrol harus dirancang dan dilaksanakan untuk memastikan bahwa tindakan yang dilakukan adalah untuk mengatasi risiko dan untuk mencapai bisnis dan tujuan TI. Pengamanan yang tepat pada sistem dan perlindungan terhadap data bisnis yang berharga tetap menjadi tanggung jawab manajemen walaupun data dan sistem di-host di cloud dan dikelola oleh penyedia layanan. Melalui tinjauan literatur yang luas, berikut tujuan yang di diidentifikasi sebagai pengendalian penting atau mitigasi risiko terhadap keamanan cloud computing: data security, administration and control(keamanan data, administrasi dan kontrol); logical access(akses logis); network security(keamanan jaringan); physical access (akses fisik), compliance(kepatuhan); dan virtualization(virtualisasi). Rekomendasi ini membentuk langkah pertama dalam menyiapkan kerangka lengkap untuk mengurangi risiko keamanan di lingkungan cloud computing. A.
Data Security, Administration And Control
Keamanan data merupakan resiko penghalang terbesar untuk penerapan cloud computing. Beberapa bisnis masih enggan untuk pindah data dan aplikasi ke cloud, terutama data yang sangat penting untuk bisnis, karena risiko kebocoran data rahasia yang mengarah ke privasi (A1), kurangnya kontrol atas data dan aplikasi (A2), ketersediaan data pada layanan cloud (A3), risiko penurunan integritas data (A4), dan perlindungan yang tidak efektif dalam transmisi data, back-up karena enkripsi yang tidak memadai (A5). Keamanan data, administrasi, pengendalian risiko
35
dan rekomendasi untuk mitigasi risiko ini dibahas secara rinci dalam Tabel 1 B.
Logical Access
Risiko akses tidak sah ke data dan aplikasi di cloud dan rekomendasi untuk mitigasi resiko ini secara rinci dalam tabel 2. Akses melalui jaringan publik dan host layanan berarti lebih meningkatan eksposur dan risiko. Keistimewaan hak akses (B1) harus diserahkan dengan hati-hati untuk pengguna yang berwenang saja, dan ditinjau secara berkala. Dibutuhkan teknik dan penggunaan tools keamanan untuk menjamin bahwa pengguna yang berwenang saja yang dapat mengakses data dan aplikasi(B2). C.
Network Security
Risiko keamanan jaringan termasuk peningkatan risiko hacking dan intrusi (C1), perimeter kebijakan keamanan (C2) dan ancaman menggunakan perangkat mobile (C3). Resiko kemanan jaringan dan rekomendasi untuk mitigasi risiko secara rinci dibahas dalam tabel 3..
D.
Physical Access
Dengan hilangnya perimeter pusat data fisik, penyerang bisa mendapatkan akses ke data dan aplikasi dari mana saja di jaringan (D1). Resiko keamanan fisik dan rekomendasi untuk mitigasi risiko ini diuraikan pada Tabel 4. E.
Compliance
Walaupun sumberdaya berada pada penyedia layanan cloud computing, perusahaan tetap bertanggung jawab untuk memastikan keamanan dan integritas data mereka. Resiko terhadap kepatuhan perundang undangan serta peraturan yang berlaku dan rekomendasi untuk mitigasi risiko tersebut secara rinci dibahas dalam Tabel 5. F. Virtualization Termasuk didalamnya kontrol yang berkaitan dengan keamanan administrasi dan kontrol, akses logis, keamanan jaringan, keamanan fisik, kontrol perubahan, manajemen dan monitoring. Untuk pembahasan secara rinci dari risiko dan kontrol.
Tabel 1. Data security, administration and control Ref
Resiko
A1
Kerahasiaan Data
A1.1
Infrastruktur cloud computing yang memungkink an akses dan penggunaan secara bersama menimbulkan masalah privasi data, termasuk konsekuesi hukum akibat adanya penyimpangan penggunaan terhadap informasi rahasia suatu bisnis. Dengan menyediakan penyimpanan data secara eksternal pada penyedia jasa layanan, meningkatkan kerentanan data sedang diakses atau disalin oleh orang yang tidak berhak; ancaman privacy data dapat berasal dari pihak internal (penyedia layanan, pengguna dalam perusahaan), dan kebocoran data bisa terjadi karena kegagalan hak akses keamanan di beberapa domain, kegagalan sistem pengiriman data secara elektronik dan fisik pada saat melakukan proses back-up pada jaringan cloud
Jurnal MEDIA SISFO Vol. 8, No.2, Juni 2013
Deskripsi kontrol dan mitigasi
Informasi yang diperbolehkan diakses di cloud h arus diidentifikasi dan diklasifikasikan secara tepat. Penyedia layanan cloud computing harus membuktikan kepada pelanggan terhadap efektivitas pengendalian privasi data. Penyedia layanan cloud computing juga harus memiliki sumberdaya manusia disertai pengetahuan yang memadai dan keterampilan untuk mendeteksi dan bereaksi terhadap pelanggaran keamanan pada waktu yang tepat. Audit pihak ketiga harus dilakukan secara berkala untuk memantau penyedia layanan cloud terhadap persyaratan yang ditetapkan, standard, prosedur dan kebijakan untuk memastikan bahwa tidak ada perubahan besar terhadap
36
prosedur standar atau kebijakan layanan A2
Kontrol terhadap data
Solusi cloud mengakibatkan sulitnya untuk menjaga keamanan, privacy data, pencurian identitas dan cybrcrime. perusahaan tidak memiliki control langsung terhadap data yang disimpan pada penyedia layanan. Sebuah perusahaan dalam cloud yang melakukan pelanggaran hukum dan adanya tindakan penyitaan data dapat menyebabkan data rahasia semua perusahaan yang berada dalam satu penyedia layanan cloud akan ikut terekspos
A3
Audit pihak ketiga harus dilakukan secara teratur untuk memantau penyedia layanan cloud computing terhadap kepatuhan akan kesepakatan, efektifitas pelaksanaan, kepatuhan terhadap kebijakan keamanan, prosedur dan standar. Penyedia layanan cloud harus memberikan transparansi operasional, kontrol, dan keamanan pada layanan cloud computing
Ketersediaan data dan layanan Data harus tersedia dan di back-up, harus disertai skema recovery data yang efektif untuk mencegah kehilangan data, menimpa data yang tidak di inginkan atau rusak. Penyedia layanan cloud harus memiliki backup dan kebijakan replikasi data serta menyimpan bukti auditable yang cukup untuk prosedur restore data termasuk recovery data secara akurat, lengkap dan tepat waktu
A3.1
Prosedur pemulihan data(recovery) harus teruji dan terencana karena sangat penting dalam hal menjamin ketersediaan layanan dan data. Risiko lainnya termasuk kerahasiaan data dapat menghambat prosedur pengujian back-up dan restore data; dan jika terjadi insiden, pelanggan cloud lainnya dapat mendapat prioritas tinggi dalam proses recovery data
A3.2
Penyedia layanan cloud harus Karena cloud computing didasarkan pada layanan mendukung interoperabilitas yang penyimpanan data, kelangsungan hidup data disaat memenuhi standar untuk penyedia layanan keluar dari bisnis atau tidak memastikan migrasi data serta beroperasi lagi menjadi sebuah resiko utama. kemampuan untuk integrasi ke penyedia layanan lain.
A3.3
Konektivitas internet dan keterbatasan kecepatan bandwidth harus Ketergantungan pada internet sebagai media utama dipertimbangkan terlebih dahulu untuk transfer dan pengolahan data menyebabkan sebelum memutuskan untuk beralih masalah ketersediaan konektivitas dan kecepatan ke cloud computing serta harus melakukan seleksi bandwidth terhadap penyedia jasa layanan jaringan yang sesuai. Penyedia layanan jaringan dan manajemen harus menyediakan provisi yang
Jurnal MEDIA SISFO Vol. 8, No.2, Juni 2013
36
memadai mengenai kemampuan jaringan dan kecepatan bandwidth. Monitoring jaringan merupakan inti untuk memastikan keseimbangan antara kebutuhan dan beban dalam jaringan A4
Integritas Data Tanggung jawab untuk melakukan manajeme n patch yang efisien harus didefinisikan secara jelas. Kebijakan manajemen patch dan prosedur harus dilaksanakan. Pertimbangkan patch virtual dan layanan manajemen patch sec ara otomatis.
A4.1
Integritas jaringan, aplikasi, database dan aplikasi (sharing)yang digunakan bersama dalam sistem, lingkungan cloud secara global terancam oleh banyak vulnerabilities atau kerentanan jika tidak dilakukan patch dengan memadai dan tepat waktu
A4.2
Semua perubahan di lingkungan cloud harus dikelola untuk meminimalkan kemungkinan gan gguan, perubahan tidak sah, atau kesalahan. Penyedia Risiko lain di lingkungan cloud computing adalah layanan cloud harus mematuhi perubahan tidak sah terhadap data dan sistem oleh standard siklus hidup penyedia layanan yang dapat mempengaruhi pengembangan system, System integritas dan ketersediaan data dan aplikasi Development Life Cycle (SDLC). Penyedia layanan harus menyimpan bukti auditable bahwa tidak ada perubahan tidak sah terjadi selama jangka waktu yang ditentukan
A4.3
Karena sumber daya sistem tidak efektif dipisahkan antar pelanggan maka integritas data dalam lingkungan penyimpanan cloud yang kompleks dapat memberikan ancaman terhadap integritas data
A5
Enkripsi Data
A5.1
Sebuah resiko besar dalam lingkungan cloud computing adalah enkripsi yang tidak memadai dan manajemen data. Lingkungan cloud dibagi dengan banyak penyewa, dan penyedia layanan memiliki akses istimewa ke data sehingga memunculkan risiko dari kebocoran data atau akses tidak sah ke penyimpanan data. Pengiriman data yang bersifat
Jurnal MEDIA SISFO Vol. 8, No.2, Juni 2013
Segregasi data harus ditegakkan dengan perimeter defenisi keamanan yang benar dan konfigurasi aman pada sistem cloud
Enkripsi harus didasarkan pada standard industri dan pemerintah. Manajemen password atau sandi yang efektif mencakup perlindungan terhadap database, lalu lintas pengiriman data, akses ke database yang menyimpan password 37
sensitive melalui jaringan meningkatkan resiko pembajakan atau kebocoran data. Data pada disk atau dalam lingkungan perusahaan juga tidak terlepas dari ancaman dari pihak penyedia layanan cloud yang berbahaya
harus menggunakan permission bertingkat; disertai solusi backup untuk keamanan data dan recovery untuk pemulihan data
Harus dilakukan metode kontrol Algoritma kriptografi yang menggunakan dan manajemen kriptografi baik metode tidak efektif dapat menghasilkan enkripsi dalam perjalanan data maupun pada yang lemah. penyimpanan
A5.2
Tabel 2. Logical access Ref Resiko
Deskripsi kontrol dan mitigasi
B1
Koneksi data menggunakan jaringan internet menyebabkan resiko aksess yang tidak sah, seperti akses administrator dari orang luar perusahaan. Akses tidak sah ke antar muka menu administrator pada cloud computing jauh lebih tinggi dibandingkan sistem tradisonal yang dapat diakses oleh beberapa administrator.
Penyedia jasa keamanan harus dapat menunjukkan adanya control keamanan yang kuat dan efektif, meyakinkan pelanggan bahwa data dan aplikasi mempunyai jaminan keamanan terhadap akses yang tidak sah, perubahan dan kehilangan data.Meninjau secara regular dan melakukan pemantauan akses administrator termasuk yang mempunyai hak untuk mengelola data, segregasi, penanganan kontrol system dan pembatasan akses, mendeteksi dan bertindak cepat terhadap pelanggaran keamanan. Penyedia layanan cloud harus dapat menjamin semua akses atau perubahan sumberdaya untuk layanan cloud serta memberikan catatan yang auditable terlepas dari keberhasilan atau kegagalan. Audit harus mencakup indikasi yang jelas dari setiap delegasi dan identitas atau otorisasi. Persetujuan resmi harus diperoleh dan disimpan untuk perubahan hak-hak account yang baru. Akses administrator harus dienkripsi dengan ekstra kuat yang dapat diterapkan melalui alat-alat keamanan seperti perlindungan password dan otentikasi yang bertingkat
B2
Mekanisme otentikasi lemah bisa meningkatkan risiko akses yang tidak sah ke data dan aplikasi secara global. Mekanisme otentikasi lemah termasuk didalamnya pengguna yang berprilaku tidak aman (penggunaan password yang tidak aman). Migrasi beban kerja untuk infrastruktur berbagi menyebabkan potensi akses tidak sah dan eksposur, termasuk tantangan seperti credential manajemen otentikasi, yang kuat (yaitu multifaktor otentikasi), didelegasikan otentikasi dan kepercayaan mengelola di semua jenis layanan cloud
Profil pengguna terpercaya harus ditetapkan berdasarkan definisi peran dan klasifikasi informasi. Memastikan pelaksanaan dan kepatuhan terhadap kebijakan keamanan. Browser yang digunakan client untuk mengakses aplikasi cloud belum sepenuhnya aman, oleh karena itu, harus dipastikan integrasi yang kuat antara keamanan data di sisi server dan framewok di client. Otentikasi yang memadai, manajemen identitas, kepatuhan dan akses menggunakan tools keamanan harus dilaksanakan dan secara teratur dimonitor. Pastikan bahwa transparansi tingkat tinggi pada service provider dinegosiasikan, didokumentasikan dalam SLA dan secara resmi disepakati
Jurnal MEDIA SISFO Vol. 8, No.2, Juni 2013
38
Tabel 3. Network security Ref Resiko
Deskripsi kontrol dan mitigasi
C1
Ada peningkatan resiko hacking dan intrusi data di lingkungan cloud. Resiko keamanan jaringan seperti ancaman dari dalam, penyalahgunaan autentikasi, side channel attacks, social networking attacks, dan denial of service (DoS) menjadi ancaman besar di lingkungan cloud computing.
Kontrol jaringan tingkat tinggi harus dilaksanakan untuk mengamankan sistem dan data, mencegah penggunaan autentikasi yang tidak sah, pengungkapan, kerusakan, atau kehilangan data. Penyedia layanan juga harus melakukan konfigurasi yang memadai dan efektif pada firewall jaringan. Kebijakan harus dapat memastikan lalu lintas paket data yang aman melalui melalui switch maupun router
C2
Perimeter kebijakan keamanan di lingkungan cloud computing tidak lagi Adanya sebuah mesin virtual sebagai daerah pertahanan dibawah kontrol perusahaan sebagai pemilik dan sebagai zona aman, sehingga perimeter keamanan yang sumberdaya tetapi berada pada penyedia di buat hanya mencakup lingkungan mesin virtual tersebut layanan
C3
Dengan menggunakan perangkat mobile pengguna cloud dapat secara leluasa Kontrol keamanan yang mengakses data memadai harus ditegakkan antarapengguna ponsel dan bisnis tanpa melalui jaringan perusahaan, penyedia layanan berbasis cloud menyebabkan kerentanan keamanan
Tabel 4. Physical Access Ref Resiko
D1
Deskripsi kontrol dan mitigasi
Menempatkan data dalam jumlah besar yang dapat diakses secara global sama saja dengan meninggalkan oraganisasi terbuka untuk ancaman didistribusikan jika penyerang dapat memperoleh akses langsung pada lokasi penyimpanan data[20, 28].
Keamanan jaringan yang bertingkat(lihat Tabel IV) dan kontrol enkripsi data (lihat Tabel 1, A5).
Tabel 5. Compliance Ref Resiko
D1
Perusahaan harus memenuhi persyaratan, yang ditetapkan oleh organisasi mereka sendiri atau oleh badan industri atau pemerintah, untuk mengamankan aplikasi dan data , baik internal maupun eksternal. Kepatuhan terhadap beberapa hukum dan standard peraturan meliputi: Standard untuk pembayaran menggunakan kartu kredit, Payment Card Industry Data Security Standard (PCI DSS); Pembatasan geografis untuk transit dan penyimpana data; Sarbanes Oxley Act (SOX); Gramm-
Jurnal MEDIA SISFO Vol. 8, No.2, Juni 2013
Deskripsi kontrol dan mitigasi Pastikan bahwa penyedia layanan cloud bersedia untuk menjalani audit eksternal dan sertifikasi keamanan, serta dapat memastikankepatuhan terhadap standard. Penyedia layanan cloud harus membuktikan bahwa data, termasuk semua salinan dan back-up, hanya disimpan di lokasi geografis yang diizinkan oleh kontrak formal, SLA atau peraturan. Kepatuhan terhadap kontrol harus dipastikan; persyaratan khusus penggunaan lokasi data, sesuai dengan lokasi hukum dan peraturan tertentu, tata hukum dan peraturan yang secara resmi ditegakkan dan didokumentasikan dalam kebijakan
39
Leach-Bliley Act (GLBA); Health Insurance Portability and Accountability Act (HIPAA); Standard audit seperti SAS70 and ISO
4.
KESIMPULAN Untuk membuat lingkungan cloud yang lebih aman dan kuat, tepat kontrol maka mitigasi resiko keamanan harus dilakukan. Pertimbangan harus diberikan terhadap semua risiko untuk memastikan integritas dan ketersediaan aplikasi dan data di cloud. Disarankan juga sejumlah kontrol yang dapat dipertimbangkan untuk memperhitungkan dan mitigasi resiko keamanan sebagai kerangka pedoman dan standar kontrol untuk menangani resiko cloud computing, termasuk keamanan data, administrasi dan kontrol, logic access, keamanan jaringan, keamanan fisik, kepatuhan terhadap perundangundangan dan virtualisasi.
http://www.robertokaban.com/2012/10/cloudcomputing-keamanan-cloud_9296.html
DAFTAR PUSTAKA: Alta van der Merwe. “Secure Cloud Computing: Benefits, Risks and Controls Mariana Carroll”. School of Computing, University of South Africa Lionel Bernard, “A Risk Assessment Framework for Evaluating Software-as-a-Service (SaaS) Cloud Services Before Adoption”. 2011. University of Maryland. Mano
Paul, CSSLP, CISSP, AMBCI,MCAD, MCSD, Network+, ECSA M.,“Security in the Skies - Cloud Computing Security Concerns, Threats, and Controls”, ISC
Pankaj Arora , “Cloud Computing Security Issues inInfrastructure as a Service, International Journal of Advanced Research in Computer Science and Software Engineering Turban, Volonino, “Information Technology For Management. Improving Strategic and Operational Performance 8 th Edition”.2011 http://id.wikipedia.org/wiki/Komputasi_awal http://en.wikipedia.org/wiki/Cloud_computing Jurnal MEDIA SISFO Vol. 8, No.2, Juni 2013
40
Jurnal MEDIA SISFO Vol. 8, No.2, Juni 2013
39
