.png)
Keamanan di Dunia Berbasis Cloud
Pada kesempatan kali ini saya ingin berbagi tentang keamanan di dunia berbasis cloud. Seperti yang kita ketahui saat ini banyak terdapat jenis Cloud Computing yang tersebar di masyarakat, akan tetapi tidak semua jenis cloud computing tersebut mempunyai tingkat keamanan yang tinggi dan memadai. Nah tugas kita adalah dapat mengetahui dan mengidentifikasi jenis cloud computing tersebut agar nantinya tidak salah memilih sesuai dengan kebutuhan kita lengkap dengan tingkat keamanan yang tinggi.
Di dalam Keamanan di dunia berbasis cloud, sangat penting dalam menjaga sebuah data, layanan, aplikasi, dan jaringan agar tetap aman karena data merupakan aset terpenting bagi perusahaan atau organisasi. Ketika organisasi menggunakan layanan cloud sebagai penyimpanan data maka dapat dikatakan organisasi tersebut menaruh kepercayaan dan bergantung pada penyedia layanan cloud tersebut. Akan tetapi di dalam dunia berbasis cloud juga tidak terlepas dari hal merugikan seperti tindak kejahatan pencurian, peretasan, kebocoran data, dan sebagainya. Memang tidak menutup kemungkinan akan terjadi hal-hal demikian, tetapi kejadian tersebut tentunya menjadi tanggung jawab berbagai pihak seperti pengguna bahkan penyedia layanan cloud.
Maka timbullah pertanyaan : apa saja tanggung jawab pengguna dan penyedia layanan cloud?
Untuk menjawab pertanyaan tersebut tentunya kita harus mengetahui apa saja layanan yang terdapat pada cloud, karena tanggung jawab dan kontrol untuk keamanan data, layanan, aplikasi, dan jaringan bervariasi menurut jenis layanan di antaranya :
- SaaS (Software as a Service)
Software as a Service adalah layanan cloud computing dimana kita dapat langsung menggunakan aplikasi yang telah disediakan. Penyedia layanan mengelola infrastruktur dan platform yang menjalankan aplikasi tersebut. Contoh layanan aplikasi email yaitu gmail, yahoo dan outlook sedangkan contoh aplikasi media sosial adalah twitter, facebook dan google+. Keuntungan dari layanan ini adalah pengguna tidak perlu membeli lisensi untuk mengakses aplikasi tersebut. Pengguna hanya membutuhkan perangkat cloud computing klien yang terhubung ke internet.
- PaaS (Platform as a Service)
Platform as a Service adalah layanan yang menyediakan computing platform. Biasanya sudah terdapat sistem operasi, database, web server dan framework aplikasi agar dapat menjalankan aplikasi yang telah dibuat. Perusahaan yang menyediakan layanan tersebutlah yang bertanggung jawab dalam pemeliharaan computing platform ini. Keuntungan layanan PaaS ini bagi pengembang adalah mereka bisa fokus pada aplikasi yang mereka buat tanpa memikirkan maintenance dari computing platform.
- IaaS (Infrastucture as a Service)
Infrastructure as a Service adalah layanan komputasi awan yang menyediakan infrastruktur IT berupa CPU, RAM, storage, bandwith dan konfigurasi lain. Komponen-komponen tersebut digunakan untuk membangun komputer virtual. Komputer virtual dapat diinstal sistem operasi dan aplikasi sesuai kebutuhan. Keuntungan layanan IaaS ini adalah tidak perlu membeli komputer fisik sehingga lebih menghemat biaya. Konfigurasi komputer virtual juga bisa diubah sesuai kebutuhan. Misalkan saat storage hampir penuh, storage bisa ditambah dengan segera.
Berikut adalah gambar yang memperlihatkan apa saja yang menjadi tanggung jawab pengguna (Customer) dan mana yang menjadi tanggung jawab Penyedia layanan (Microsoft)
Di dalam Keamanan di dunia berbasis cloud, sangat penting dalam menjaga sebuah data, layanan, aplikasi, dan jaringan agar tetap aman karena data merupakan aset terpenting bagi perusahaan atau organisasi. Ketika organisasi menggunakan layanan cloud sebagai penyimpanan data maka dapat dikatakan organisasi tersebut menaruh kepercayaan dan bergantung pada penyedia layanan cloud tersebut. Akan tetapi di dalam dunia berbasis cloud juga tidak terlepas dari hal merugikan seperti tindak kejahatan pencurian, peretasan, kebocoran data, dan sebagainya. Memang tidak menutup kemungkinan akan terjadi hal-hal demikian, tetapi kejadian tersebut tentunya menjadi tanggung jawab berbagai pihak seperti pengguna bahkan penyedia layanan cloud.
Maka timbullah pertanyaan : apa saja tanggung jawab pengguna dan penyedia layanan cloud?
Untuk menjawab pertanyaan tersebut tentunya kita harus mengetahui apa saja layanan yang terdapat pada cloud, karena tanggung jawab dan kontrol untuk keamanan data, layanan, aplikasi, dan jaringan bervariasi menurut jenis layanan di antaranya :
- SaaS (Software as a Service)
Software as a Service adalah layanan cloud computing dimana kita dapat langsung menggunakan aplikasi yang telah disediakan. Penyedia layanan mengelola infrastruktur dan platform yang menjalankan aplikasi tersebut. Contoh layanan aplikasi email yaitu gmail, yahoo dan outlook sedangkan contoh aplikasi media sosial adalah twitter, facebook dan google+. Keuntungan dari layanan ini adalah pengguna tidak perlu membeli lisensi untuk mengakses aplikasi tersebut. Pengguna hanya membutuhkan perangkat cloud computing klien yang terhubung ke internet.
- PaaS (Platform as a Service)
Platform as a Service adalah layanan yang menyediakan computing platform. Biasanya sudah terdapat sistem operasi, database, web server dan framework aplikasi agar dapat menjalankan aplikasi yang telah dibuat. Perusahaan yang menyediakan layanan tersebutlah yang bertanggung jawab dalam pemeliharaan computing platform ini. Keuntungan layanan PaaS ini bagi pengembang adalah mereka bisa fokus pada aplikasi yang mereka buat tanpa memikirkan maintenance dari computing platform.
- IaaS (Infrastucture as a Service)
Infrastructure as a Service adalah layanan komputasi awan yang menyediakan infrastruktur IT berupa CPU, RAM, storage, bandwith dan konfigurasi lain. Komponen-komponen tersebut digunakan untuk membangun komputer virtual. Komputer virtual dapat diinstal sistem operasi dan aplikasi sesuai kebutuhan. Keuntungan layanan IaaS ini adalah tidak perlu membeli komputer fisik sehingga lebih menghemat biaya. Konfigurasi komputer virtual juga bisa diubah sesuai kebutuhan. Misalkan saat storage hampir penuh, storage bisa ditambah dengan segera.
Berikut adalah gambar yang memperlihatkan apa saja yang menjadi tanggung jawab pengguna (Customer) dan mana yang menjadi tanggung jawab Penyedia layanan (Microsoft)
Jika telah mengetahui jenis-jenis layanan apa saja yang terdapat di cloud kini kita dapat menganalisa langkah-langkah untuk memilih cloud yang aman untuk digunakan seperti berikut :
1. Kenali Layanan Cloud yang sesuai dengan kebutuhan kita dan nilai data yang kita miliki.
Hal ini sangat penting untuk kita amati. Sebelum kita berlangganan pada layanan Cloud, kita harus tahu nilai data yang kita miliki. Dengan mengetahui nilai data kita, kita dapat mengetahui layanan cloud mana yang dapat memenuhi kebutuhan dan obligasi yang harus dipenuhi.
2. Sebelum kita memilih sebuah layanan Cloud, kita harus memiliki informasi dari Cloud service yang bersangkutan.
Beberapa informasi yang kita butuhkan adalah tingkat kerentanan yang ada, bagaimana cara mereka bekerja, bagaimana upaya mereka agar layanan cloud yang mereka miliki jadi sulit untuk ditembus, dan sebagainya.
Setelah melakukan analisa, langkah berikutnya yang kita lakukan adalah mengetahui ciri-ciri Cloud Service yang dapat dipercaya yaitu :
1. Cyber Security
Cloud harus mampu memanage akses user dan identitasnya, mengeenkripsi segala bentuk komunikasi beserta proses operasi serta mengatasi ancaman dunia maya yang ada.
2. Data Privacy
Adanya sebuah komitmen bagi penyedia layanan cloud untuk menjaga segala informasi dan privasi klien. Hal yang perlu dipahami dalam Cloud Computing adalah kita (klien) merupakan pemilik data yang kita upload dalam cloud dan bukan menjadi hak milik layanan tersebut. Cloud harus mengijinkan kontrol kepada pemilik data sebagaimana merupakan hak klien.
3. Compliance/Commitment
Adanya komitmen dalam memenuhi kebutuhan perusahaan/klien dan stkitar industri dan stkitar internasional yang ada, dengan demikian klien mampu memenuhi kebutuhan yang mereka butuhkan saat menjalankan infrastruktur dan aplikasi yang mereka yang berada di Azure.
4. Transparency
Ini adalah bagian paling vital yang perlu kita amati dalam memilih cloud service yang tepat dan dapat dipercaya. Sebuah transparensi dibutuhkan untuk membangun hubungan kepercayaan antara klien dengan penyedia layanan cloud. Transparensi sendiri harus diterapkan pada berbagai hal seperti masalah sekuritas, informasi serta pemenuhan kebutuhan dalam menjaga keamanan klien. Intinya, sebuah transparensi adalah adanya kegiatan sharing informasi antara klien dan cloud service dalam menjaga informasi yang klien miliki.
Selain itu pastikan cloud service yang kita gunakan memiliki 2 standar keamanan internasional, antara lain:
- ISO 27001 mencakup sekitar teknik dan manajemen keamanan dalam menjaga teknologi informasi dan komunikasi yang ada.
- ISO 27018 mencakup stkitar internasional dalam menjaga privasi, terutamahal-hal yang mencakup PII (Personally Identifiable Information).
Dengan penjelasan di atas kita kita dapat mengetahui tentang keamanan di dunia berbasis cloud. Melalui berbagai analisa tersebut saya dapat memberikan referensi cloud service apa yang recommended. Yup! Itulah Microsoft Azure.
Microsoft Azure merupakan penyedia layanan Cloud yang sangat direkomendasikan bagi kita. Memang mungkin masih terdapat beberapa pihak yang masih meragukan kapabilitas Microsoft sebagai penyedia layanan cloud meskipun Microsoft telah memiliki pengalaman yang sangat panjang di bidang Cloud Computing.
Pertanyaannya sekarang adalah mengapa kita harus percaya pada Microsoft? Apakah kebutuhan perusahaan akan tercukupi jika kita menggunakan layanan mereka? Kekhawatiran-kekhawatiran seperti itulah yang sering dilontarkan oleh calon pengguna.
Seperti yang kita ketahui bahwa sebuah cloud yang dapat dipercaya memiliki 4 sifat utama yaitu adanya Cyber-security, Data Privacy, Compliance serta Transparency serta adanya sertifikasi pihak ketiga seperti ISO 27001 dan 27018. Microsoft memiliki semua ciri tersebut, namun sayangnya masih ada beberapa pihak yang tidak percaya dengan kapabilitas yang dimiliki Microsoft. Memang adanya Malware merupakan hal yang dikhawatirkan calon pelanggan, selain itu sistem padam karena adanya masalah dalam perusahaan ataupun kurangnya transparensi dalam hal penanganan data, namun semua hal itu tidak menjadi masalah karena:
1. Microsoft berkomitmen untuk selangkah lebih maju
Memang, tidak ada yang namanya aman 100%, karena memang tidak ada hal yang sempurna di dunia ini, hal ini dapat dilihat dari setiap harinya bentuk serangan yang dilancarkan para cracker terus berevolusi dan dijalankan secara terus menerus. Namun, Microsoft berkomitmen untuk selangkah lebih maju dari mereka dalam penanganan keamanan data, sehingga informasi yang dimiliki pelanggan dapat terjaga.
Microsoft sendiri memiliki badan khusus untuk menginvestigasi dan melawan cybercrime. Unit ini memiliki misi untuk menciptakan lingkungan internet yang aman bagi masyarakat dan organisasi yang ada. Tidak main-main, unit ini terdiri dari pengacara, investigator, analis forensik serta insinyur untuk melawan segala tindak kejahatan dalam dunia maya.
2. Microsoft mengutamakan transparansi dan hubungan kepercayaan dengan klien
Microsoft sangat mengutamakan adanya transparansi, seperti membagi informasi bagaimana mereka melindungi data kita, bagaimana cara mereka bekerja dan sebagainya. Namun, ada 3 sistem penting yang harus kita amati dalam transparensi Microsoft, yaitu :
a. Proses keamanan dan teknologi yang terdiri dari secure development (SDL) dan secure operation (OSA)
b. Permintaan data yang diajukan pemerintah. Microsoft mengirim laporan data setiap 6 bulan sekali dan sudah dilakukan sejak tahun 2012 silam.
c. Adanya transparency center yang berguna untuk mereview source code dan meyakinkan kita kalau tidak ada “pintu belakang” yang muncul dalam keamanan kita.
Ketika kita berbicara dengan masalah pemerintah, disitulah letak kekhawatiran perusahaan besar dalam menjaga informasi data yang mereka miliki. Mereka takut adanya pengawasan yang dilakukan pada data-data klien dalam layanan cloud Microsoft. Namun hal itu tidak perlu dicemaskan, Microsoft memiliki tindakan tersendiri dalam mengantisipasi pengawasan pemerintah. Jika ada pemerintah yang meminta sebuah data spesifik perusahaan tertentu, mereka tidak dapat mengakses langsung melalui Microsoft. Pemerintah harus meminta ijin pada perusahaan pemilik data terlebih dahulu.
Misalnya, pemerintah berusaha mengakses data klien secara diam-diam, hal tersebut tidak menjadi masalah. Microsoft menggunakan enkripsi khusus dalam mengamankan data, serta setiap koneksi menuju server menggunakan kunci yang berbeda dengan panjang kunci 2048 bit, sehingga mustahil bagi pemerintah untuk melakukan pengawasan secara diam-diam. Beberapa sistem keamanan yang ditawarkan Microsoft antara lain:
- Azure AD (Active Directory)
- Azure Key Vault
- Azure RMS
- Office 365
- MDM Conditional Access, yang berguna untuk mengatur kondisi untuk mengakses data.
Terlebih lagi, Microsoft memiliki jumlah pelanggan melebihi 20 juta user, sehingga kredibilitas dan kapabilitas mereka terbukti ampuh dalam menjaga informasi dan privasi klien mereka. Nah sekarang kita tahu betapa amannya Microsoft Azure sehingga tidak perlu ragu lagi dalam menggunakan semua layanan yang ditawarkan Microsoft Azure.
Sekian pembahasan Keamanan di dunia berbasis cloud kita pada kesempatan kali ini, semoga apa yang saya bagikan dapat bermanfaat untuk kita semua. Masukan dari anda semua sangat berguna bagi saya untuk dapat terus berbenah. Stay tune di blog ini ya, Terimakasih dan Salam Microsoft :D
0 komentar: