Theft of Information di dalam Teknologi Cloud Computing dan Teknik Mengamankan Data sebagai Pencegahan Pencurian Data
Abstraksi Sekarang ini, isu Cloud Computing menjadi isu utama di tahun 2010. Banyak perusahaan yang berencana untuk memindahkan aplikasi dan storagenya ke dalam Cloud Computing. Tetapi masih banyak isu keamanan yang muncul, karena teknologi yang baru ini. Salah satu isu keamanannya adalah Theft of Information, yaitu Pencurian terhadap data yang disimpan di dalam Storage Aplikasi yang menggunakan teknologi Cloud Computing. Kerugian yang akan diperoleh oleh Pengguna Teknologi ini sangat besar, karena Informasi yang dicuri menyangkut Data rahasia milik perusahaan, maupun data – data penting lainnya. Beberapa Tindakan untuk melakukan pencegahan terhadap Pencurian Data ini dilakukan pada tingkat Server access security, Internet Access security, Database Access security, Data privacy security dan Program Access Security. Hal ini dapat mencegah pencurian data. Pencegahan keamanan dapat dilakukan secara fisik maupun secara digital. Pencegahan ini dilakukan pada level Database Access Security. Karena di dalam database terdapat data milik user. Hal ini dilakukan oleh penyedia layanan Keywords : Cloud Computing, Keamanan, Theft of Information
Pendahuluan 1. Teknologi Cloud Computing Menurut e-book “Digital forensics for network, Internet, and cloud computing: a forensic evidence guide for moving targets and data” karangan Terrence V. Lillard, dijelaskan mengenai definisi sederhana dari Teknologi Cloud Computing yaitu “Cloud computing can be thought of as a simple rental of computer space in another company’s data center.”
Maksudnya adalah Teknologi Cloud Computing dapat didefinisikan secara sederhana sebagai sebuah Perusahaan dengan Pusat Data yang menyediakan rental Space Storage. Perusahaan
ini hanya menyediakan Infrastruktur untuk tempat penyimpanan data dan aplikasi dari suatu perusahaan. Dalam e-book “Cloud Computing Strategies” karangan Dimitris N. Chorafas menjelaskan Cloud Computing sebagai Teknologi On-Demand
OnDemand is a generic issue in cloud computing; cloud computing is a strategic inflection point in information technology. Not only applications software but also platforms, infrastructure, and enabling services
Maksudnya adalah Teknologi Cloud Computing merupaka Teknologi yang berbasiskan pada permintaan dari User. Teknologi ini merupakan salah satu Inflection Point, tidak hanya Aplikasi Perangkat Lunak yang berbasiskan Cloud Computing tetapi Plaform, Infrastruktur Basis Data maupun Pelayanan dapat berbasiskan Cloud Computing.
Gambar 1 : Pemodelan Teknologi Cloud Computing (Sumber : http://teknik-informatika.com)
4 Pilar Utama Teknologi Cloud Computing menurut e-book “Cloud Computing Strategies” adalah
Applications
Platforms
Infrastructure
Enabling Services.
Gambar 2 : Pilar Utama Cloud Computing (sumber : Cloud Computing Strategies Halaman 11) Beberapa Jenis Pelayanan dari Teknologi Cloud Computing diambil dari e-book Cloud Computing : Implementation and Security karangan John W. Rittinghouse dan James F. Ransome adalah Software as a Service ( SaaS) SaaS adalah salah satu jenis Teknologi Cloud Computing yang menyediakan Aplikasi melalui Web Browser untuk ribuan pelanggan menggunakan Arsitektur untuk Multiuser. Fokus SaaS adalah pada End-User , sebagai pengatur jasa layanan. Untuk pelanggan, tidak ada biaya investasi awal pada pembelian server atau lisensi perangkat lunak. Untuk penyedia layanan, dengan produk tunggal yang dimiliki, biaya yang dikeluarkan relatif
lebih rendah dibandingkan dengan biaya untuk melakukan Hosting secara konvensional. Contoh Aplikasi yang menggunakan Teknologi Cloud Computing sebagai SaaS adalah Salesforce.com.
Gambar 3 : Pemodelan SaaS ( Sumber : Presentasi Cloud Computing Security halaman 9) Platform as a Service ( PaaS) Platform-as-a-Service (PaaS) adalah salah satu variasi lain dari SaaS. Kadang-kadang disebut hanya sebagai layanan Web di dalam Teknologi Cloud Computing, PaaS dan SaaS saling berkaitan erat dengan menyediakan platform untuk bekerja pada sebuah Platform Aplikasi tertentu. Aplikasi penyedia Layanan ini menawarkan antarmuka pemrograman (API) yang memungkinkan para pengembang untuk memanfaatkan fungsi melalui Internet, daripada menyediakan aplikasi yang lengkap secara lokal. Variasi Teknologi Cloud Computing ini menyediakan lingkungan pengembangan untuk programmer, Analis, dan Software sebagai instruktur pelayanan. Contoh Aplikasi yang menggunakan Teknologi Cloud Computing sebagai PaaS adalah Google App Engine.
Gambar 4 : Pemodelan PaaS ( Sumber : Presentasi Cloud Computing Security halaman 28) Infrastructure as a Service (IaaS) Infrastruktur as a Service (IaaS) adalah penyedia infrastruktur (biasanya sebuah platform di lingkungan virtualisasi) yang menyediakan pelayanan. IaaS memanfaatkan investasi yang signifikan dari layanan pusat data dan teknologi untuk memberikan TI sebagai layanan kepada pelanggan. Tidak seperti outsourcing tradisional, yang memerlukan due diligence yang luas, negosiasi, tak terhingga dan dengan kontrak yang kompleks, model IaaS berfokus pada penyediaan pelayanan yang diberikan pada infrastruktur dengan standar khusus yang dioptimalkan untuk aplikasi pelanggan .
Gambar 5 : Pemodelan IaaS ( Sumber : Presentasi Cloud Computing Security halaman 58) Communication as a Service ( CaaS ) CaaS merupakan solusi outsourcing untuk perusahaan komunikasi. Penyedia Layanan jenis ini memberikan Solusi berbasis cloud (dikenal sebagai penyedia CaaS) bertanggung jawab untuk pengelolaan perangkat keras dan perangkat lunak untuk memberikan layanan Voice Over IP (VoIP) , Pesan Instan (IM) dan kemampuan untuk melkukan Video Konferensi untuk pelanggan. Model ini mulai berevolusi di dalam Industri Telekomunikasi (Telco), tidak seperti model SaaS yang muncul dalam bidang jasa layanan pengiriman perangkat lunak. CAAS vendor bertanggung jawab untuk semua perangkat keras dan perangkat lunak manajemen dikonsumsi oleh basis pengguna mereka. CaaS vendor biasanya menawarkan Quality of Service (QoS) di bawah Service Level Aggrement (SLA). Monitoring as a Service (Maas) MaaS adalah Penentuan Keamanan untuk melakukan Outsourcing teknologi Cloud Computing, terutama pada perusahaan yang platformnya menggunakan Internet sebagai Core Business. MaaS telah menjadi semakin populer selama dekade terakhir ini. Sejak munculnya Teknologi Cloud Computing, popularitasnya telah berkembang bahkan lebih berkembang lagi. Pemantauan untuk Keamanan adalah untuk melindungi perusahaan
klien atau pemerintah dari Ancaman Cyber Crime. Sebuah tim keamanan memiliki peranan penting dalam melindungi dan menjaga kerahasiaan, integritas dan ketersediaan aset teknologi. Namun, kendala waktu dan sumber daya terbatas, operasi keamanan dan efektif menjadi kendala bagi sebagian besar perusahaan. Hal ini memerlukan kewaspadaan secara terus menerus pada infrastruktur keamanan dan aset informasi kritis.
Gambar 6: Layanan Teknologi Cloud Computing ( Sumber : Cloud Computing : Implementation and Security halaman 36) Menurut Saurabh K Prashar, dalam Presentasinya yaitu “Security Issues in Cloud Computing”, Dia menjabarkan tentang Keuntungan dalam penggunaan Teknologi Cloud Computing yaitu •
Minimized Capital expenditure Meminimalisasi pengeluaran modal dari perusahaan. Sekarang ini, untuk Perusahaan yang sudah menggantungkan Kegiatan Operasionalnya dengan Teknologi IT, akan sangat terbantu dengan adanya Teknologi Cloud Computing ini. Dengan adanya Cloud Computing, perusahaan dapat menghemat pembelian Infrastruktur, seperti Pembelian Server, dan untuk Infrastruktur yang lainnya.
•
Location and Device independence Lokasi dan Peralatan yang akan digunakan untuk mendukung Teknologi Cloud Computing berdiri sendiri, tidak bergantung pada perusahaan yang akan menerapkan teknologi Cloud Computing. Sehingga penggunaan Teknologi Cloud Computing lebih disarankan untuk dilakukan secara Outsourcing.
•
Utilization and efficiency improvement Utilitas dan Efisiensi menjadi Improve dari teknologi Cloud Computing ini. Pengguna dapat menggunakan Teknologi ini secara efektif sehingga kinerja perusahaan maupun organisasi dapat berjalan lebuh baik lagi.
•
Very high Scalability Skalabilitas yang sangat tinggi, membuat Teknologi Cloud Computing ini mulai digarap oleh beberapa perusahaan besar. Pengguna membutuhkan Skalabilitas yang tinggi, sehingga aplikasi dapat berjalan dengan baik.
•
High Computing power Bila menggunakan Teknologi Cloud Computing, Pemrosesan data akan lebih baik, dan akan lebih cepat karena menggunakan Komputasi yang banyak dan menggunakan Resource yang banyak sehingga waktu untuk proses sebuah aplikasi menjadi lebih cepat dan lebih baik.
Beberapa contoh Aplikasi yang menawarkan Teknologi Cloud Computing antara lain : -
Amazon Web Services (AWS), dimana User akan membeli aplikasi yang bernama Amazon Machine Image (AMI) baik berbasiskan Linux atau Windows. Perusahaan dapat menjalankan Aplikasi ini secara virtual ataupun secara fisik. Perusahaan tidak membutuhkan Network Infrastructure, dan juga Firewalls di dalam Pusat Data ataupun juga memiliki Supporting Hardware di dalam Operating System. Informasi lebih lanjut dapat melihat “http://aws.amazon.com”.
-
Selain itu terdapat juga Teknologi Cloud Computing yang dibangun oleh Microsoft, yaitu Microsoft Azure. Dengan Microsoft Azure, Perusahaan memiliki segala sesuatu pada sistem operasi dan tidak bisa mengubah apa pun dalam sistem operasi, termasuk registri. Setiap program yang diinstal pada sistem hanya dapat diinstal sebagai XCopy, hal ini sebagai standar dari Aplikasi Microsft Azure. Microsoft Azure diciptakan untuk mendukung program layanan Web dan hal ini memerlukan sebuah pendekatan baru untuk berpikir tentang pemrograman, serta perangkat lunak tradisional, termasuk failover di dalamnya.
Teknologi Cloud Computing merupakan Teknologi yang menggunakan Pelayanan secara Virtual. Virtualisasi menjadi isu utama dalam penggunaan Teknologi ini. Beberapa perusahaan besar seperti VMWare dan Sun Microsystem menjadi penyedia layanan untuk Teknologi Virtualisasi ini. Menurut e-book Cloud Computing : Implementation and Security, teknologi virtualiasi merupakan Virtualization is a method of running multiple independent virtual operating systems on a single physical computer.
Virtualiasai merupakan metode untuk menjalankan Multiple Virtual Operating system dalam satu Server Fisik. Dengan Teknologi Virtualiasi ini akan sangat memudahkan dalam penggunaan, karena 1 Server dapat menampung beberapa Sistem Operasi secara bersama – sama. Teknologi Virtualisasi ini sangat identik dengan Teknologi Cloud Computing.
2. Ancaman Keamanan dalam Cloud Computing Dalam Presentasi yang dilakukan oleh Security Issues in Cloud Computing, Saurabh K Prashar menyatakan bahwa Masalah Security merupakan Masalah Utama yang timbul dengan adanya Teknologi Cloud Computing. Dengan adanya Teknologi ini, keamanan data dari setiap user tidak dapat terjamin, karena setiap data dan informasi yang dimiliki terdapat di Cloud atau di Internet tepatnya. Hal ini menjadi isu utama dari Teknologi Cloud Computing . Seperti digambarkan di dalam diagram di bawah, gambar tersebut merupakan hasil survey kepada beberapa orang dan mereka menyatakan bahwa Isu Security terhadap Teknologi Cloud Computing sangat besar.
Gambar 7 : Perbandingan Permasalahan dalam Teknologi Cloud Computing ( Sumber : Presentasi Security Issues in Cloud Computing halaman 5)
Dengan adanya Aspek Keamanan, dapat mencegah Danger atau Bahaya dan Vulnerabilities atau Aspek Kerentanan terhadap suatu aplikasi yang mengadaptasi teknologi Cloud Computing. Untuk Aspek Danger yang dapat timbul dari penggunaaan Teknologi Cloud Computing antara lain Disrupts Services Maksudnya adalah Layanan Terganggu, biasanya hal ini terjadi karena faktor alam, karena cuaca yang kurang baik sehingga koneksi tidak dapat berjalan dengan baik atau adanya Bencana Alam yang membuat Server penyedia layanan bermasalah dan tidak dapat berjalan sebagaimana semestinya. Theft of Information Hal inilah yang akan dibahas secara lebih mendalam di dalam Paper ini. Pencurian data menjadi isu yang cukup menarik, karena banyaknya cara – cara pencurian data seperti DoS ( Denial of Service) maupun tipe pencurian data yang lain. Aplikasi dengan Teknologi Cloud Computing merupakan aplikasi yang sangat rentan dengan
pencurian data. Hal ini karena data disimpan di Server yang berada di Internet, sedangkan jaringan di Internet sangat rentan untuk disadap atau dicuri. Loss of Privacy Bahaya ini adalah dengan hilangnya Privacy dari User atau pengguna karena menyerahkan dokumen yang dianggap penting dan rahasia kepada pihak penyedia pelayanan. Hal ini cukup membahayakan bila terjadi kebocoran data. Selain itu hal – hal pribadi milik pengguna sudah tidak dapat terjamin lagi kerahasiannya. Damage information Data yang dimasukkan melalui Jaringan Internet dapat rusak, hal ini karena Koneksi jaringa yang kurang baik, sehingga data menjadi Corrupt dan juga tidak digunakan kembali. Hal ini cukup mengganggu bila data yang rusak cukup banyak dan tidak memiliki Backup. Untuk Aspek Vulnerabilities ( Kerentanan ) adalah sebagai berikut Hostile Program Program yang berbeda dengan program yang diharapkan. Hal ini dapat terjadi karena saat melakukan Hosting untuk aplikasi tidak dapat berjalan dengan baik. Selain itu hal ini dapat terjadi karena perbedaan Plaform yang digunakan antara Aplikasi di Server Local dengan aplikasi yang disediakan oleh penyedia pelayanan. Hostile people giving instructions to good programs Beberapa hacker atau orang yang tidak baik, memberikan nasihat yang tidak baik pada saat akan dilakukan hosting untuk aplikasi, sehingga aplikasi yang dihasilkan tidak dapat berjalan baik dan juga aplikasi tersebut dapat dengan mudah dirusak atau diambil data pentingnya. Hal ini cukup membahayakan untuk kelangsungan dari Aplikasi ini. Bad guys corrupting or eavesdropping on communications Orang – orang yang jahat sering melakukan penyadapan terhadap komunikasi yang dilakukan antara jaringan privat di aplikasi yang berada di Server penyedia layanan dengan user yang berada di Server Lokal.
Tabel 1 : Kebutuhan Keamanan secara Umum ( Sumber : Presentasi Security Issues in Cloud Computing halaman 7) Kebutuhan Keamanan secara umum adalah o Confidentiality o Integrity o Availabilty o Non-Repuditation
3. Pencegahan Pencurian Data Pencurian Data dalam Teknologi Cloud Computing merupaka salah satu isu keamanan yang cukup besar. Hal ini karena setiap Hacker dapat menggunakan berbagai cara untuk mendapatkan informasi yang mereka butuhkan dari suatu perusahaan tertentu. Ada beberapa cara untuk dapat mencegah hal ini dapat terjadi. Beberapa cara pencurian data adalah dengan -
Denial of Service Contoh : DNS Hacking, Routing Table “Poisoning”, XDoS Attacks
-
QoS Violation Contoh : Delaying or Dropping packetsMan in the Middle Attack
-
IP Spoofing
-
Port Scanning
-
ARP Cache Attack
Keamanan untuk Cloud Computing dilakukan pada level – level seperti di bawah ini
Server access security Internet access security Database / Datacenter access security Data privacy security Program access Security Setiap level di atas, harus diberikan keamanan yang baik. Misal untuk Server Acces akan diberikan Firewall yang baik, agar tidak dengan mudah Server ditembus oleh Hacker. Secara khusus akan dibahas mengenai keamanan di dalam Datacenter access security. Data dapat dicuri secara fisik yaitu mengambil data langsung ke Pusat Data / Data Center maupun dapat mencuri dengan cara hacking langsung ke dalam Basis data. Untuk keamanan di dalam Sebuah Data Center diperlukan beberapa hal berikut ini, hal ini lebih kearah fisik untuk pengamanan data center. Pengamanan ini dilakukan oleh Pihak Penyedia Layanan. •
Professional Security staff utilizing video surveillance, state of the art intrusion detection systems, and other electronic means. Penggunaan Petugas keamana yang professional yang dilengkapi denga kamrea pengawas dan berbagai sistem keamanan yang lainnya.
•
When an employee no longer has a business need to access datacenter his privileges to access datacenter should be immediately revoked. Untuk setiap petugas yang sudah tidak bertugas di dalam Pusat Data harus dihapus hak aksesnya untuk dapat masuk ke dalam Pusat Data. Bila hal ini tidak dilakukan, maka akan sangat dimungkin bila Pencurian Data dapat dilakukan.
•
All physical and electronic access to data centers by employees should be logged and audited routinely Setiap Akses secara Elektronik dan akses secara fisik ke dalam Pusat Data yang dilakukan oleh Pegawai harus dilakukan audit secara rutin. Hal ini dimaksudkan agar perusahaan dapat mengetahui track record dari setiap pegawai.
•
Audit tools so that users can easily determine how their data is stored, protected, used, and verify policy enforcement. Digunakan Aplikasi untuk melakukan proses audit,hal ini dilakukan agar dapat mengetahui bagaimana data disimpan, dijaga, digunakan dan data tersebut akan diverifikasi dengan peraturan yang sudah ada.
Selain itu untuk keamanan sebuah Pusat Data diperlukan tempat penyimpanan yang mudah dijangkau tetapi dengan tingkat keamanan yang tinggi dan juga diperlukan sebuah Backup Storage. Sedangkan untuk pengamanan dari segi digital, dapat digunakan beberapa carap berikut Dapat dibuat 1 buah server yang berada di Front-End. Server ini berfungsi untuk menjadi Server Palsu, yang di dalamnya bukan berisi data asli milik Perusahaan Penyedia Pelayanan, dapat dibuat juga beberapa server storage seperti ini agar dapat mengelabui para Hacker yang akan melakukan pencurian data. Untuk keamanan juga dapat digunakan authentifikasi yang berlapis. Hal ini dimaksudkan agar keamanan dapat berlapis dan juga hanya beberapa user saja yang memiliki Privilledge khusus yang dapat mengakses Data Center utama. Dapat menggunakan koneksi VPN ( Virtual Private Network ), dimana antara Server dan User dapat saling berhubungan di dalam satu jalur saja. Jalur Khusus ini dapat membantu keamanan jaringan. Diperlukan juga satu layer khusus untuk Anti-Virus, hal ini juga dapat mencegah bila ada penyusup yang akan masuk ke dalam aplikasi.
Gambar 8 : Layer dalam VM dengan Teknologi Cloud Computing ( Sumber : Presentasi Security Issues in Cloud Computing halaman 26)
4. Kesimpulan Isu keamanan di dalam Teknologi Cloud Computing saat ini menjadi isu utama, terutama isu pencurian data yang dilakukan oleh Hacker maupun pencurian secara langsung ke dalam Pusat Data secara fisik. Bila pencurian data tersebut terjadi dapat merugikan user secara umum, karena selain data rahasia diambil, perusahaan tidak dapat menjalankan perusahaan dengan baik. Beberapa tindakan untuk mencegah terjadinya pencurian data data ini, secara fisik adalah dengan mengatur akses pegawai yang dapat masuk ke dalam data center dan penggunaan kamera pengawas serta tindakan pencegahan yang lainnya. Sedangkan untuk pencegahan secara digital, Penyedia Layanan dapat membuat satu server yang isinya data palsu agar dapat mengelabui Hacker, selain itu dapat juga dilakukan Authentifikasi yang berlapis agar keamanan dapat lebih berjalan dengan baik.
DAFTAR PUSTAKA [1] Prashar, Saurabh K. Security Issues in Cloud Computing : 2010 [2] Lillard, Terrence. Digital forensics for network, Internet, and cloud computing: a forensic evidence guide for moving targets and data, Burlingon USA : Elsevier Inc, 2010 [3] B., Andrew, S., Alex, W., Nathan. Cloud Computing Security : Raining on the Trendy New Parade, BlackHat USA : ISEC Partners, 2009 [4] W. R., John, F. R., James. Cloud Computing : Implementation, Management, and Security, Boca Raton : Taylor & Francis Group, 2010 [5] N. C., Dimitris. Cloud Computing Strategies, Boca Raton : Taylor & Francis Group, 2010
