Keamanan komputasi awan atau (sederhananya
Keamanan cloud) mengacu pada serangkaian kebijakan, teknologi, dan kontrol yang diterapkan untuk melindungi data, aplikasi, dan infrastruktur
komputasi awan yang terkait. Ini adalah sub-domain
Keamanan komputer,
Keamanan jaringan, dan lebih luas lagi,
Keamanan informasi.
komputasi dan penyimpanan
awan memberikan pengguna kemampuan untuk menyimpan dan memproses data mereka di pusat data milik pihak ketiga. Organisasi menggunakan
awan dalam berbagai model layanan yang berbeda (dengan akronim seperti SaaS, PaaS, dan IaaS) dan model penyebaran (pribadi, publik, hibrida, dan komunitas). Masalah
Keamanan yang terkait dengan
komputasi awan termasuk dalam dua kategori besar: masalah
Keamanan yang dihadapi oleh penyedia cloud (organisasi yang menyediakan perangkat lunak-, platform-, atau infrastruktur-sebagai-layanan-melalui cloud) dan masalah
Keamanan yang dihadapi oleh pelanggan mereka (perusahaan atau organisasi yang meng-host aplikasi atau menyimpan data di cloud). Tanggung jawab dibagi, namun. Penyedia harus memastikan bahwa infrastruktur mereka aman dan bahwa data dan aplikasi klien mereka dilindungi, sementara pengguna harus mengambil tindakan untuk memperkuat aplikasi mereka dan menggunakan kata sandi dan ukuran otentikasi yang kuat.
Ketika organisasi memilih untuk menyimpan data atau aplikasi host pada
awan publik, ia kehilangan kemampuannya untuk memiliki akses fisik ke server yang menyimpan informasinya. Akibatnya, data sensitif dapat diserang oleh orang dalam. Menurut laporan Cloud Security Alliance baru-baru ini, serangan orang dalam adalah ancaman terbesar keenam dalam
komputasi awan. Oleh karena itu, penyedia layanan cloud harus memastikan bahwa pemeriksaan latar belakang menyeluruh dilakukan untuk karyawan yang memiliki akses fisik ke server di pusat data. Selain itu, pusat data harus sering dipantau untuk aktivitas yang mencurigakan.
Untuk menghemat sumber daya, memotong biaya, dan menjaga efisiensi, penyedia layanan cloud sering menyimpan lebih dari satu data pelanggan di server yang sama. Akibatnya, ada kemungkinan bahwa satu data pribadi pengguna dapat dilihat oleh pengguna lain (bahkan mungkin pesaing). Untuk menangani situasi sensitif seperti itu, penyedia layanan cloud harus memastikan isolasi data yang tepat dan segregasi penyimpanan logis.
Penggunaan virtualisasi yang ekstensif dalam mengimplementasikan infrastruktur cloud membawa masalah
Keamanan yang unik bagi pelanggan atau penyewa layanan cloud publik. Virtualisasi mengubah hubungan antara OS dan perangkat keras yang mendasari - baik itu komputer, penyimpanan atau bahkan jaringan. Ini memperkenalkan lapisan tambahan - virtualisasi - itu sendiri harus dikonfigurasi, dikelola, dan dijamin dengan benar. Kekhawatiran khusus termasuk potensi untuk mengkompromikan perangkat lunak virtualisasi, atau "hypervisor". Meskipun kekhawatiran ini sebagian besar bersifat teoritis, mereka memang ada. Sebagai contoh, pelanggaran di workstation administrator dengan perangkat lunak manajemen dari perangkat lunak virtualisasi dapat menyebabkan seluruh pusat data turun atau dikonfigurasikan sesuai keinginan penyerang.
Arsitektur
Keamanan awan hanya efektif jika implementasi defensif yang benar sudah ada. Arsitektur
Keamanan awan yang efisien harus mengenali masalah yang akan muncul dengan manajemen
Keamanan. [ Manajemen
Keamanan menangani masalah ini dengan kontrol
Keamanan. Kontrol ini dipasang untuk menjaga setiap kelemahan dalam sistem dan mengurangi efek serangan. Meskipun ada banyak jenis kontrol di belakang arsitektur
Keamanan cloud, mereka biasanya dapat ditemukan di salah satu kategori berikut:
Kontrol Jera
Kontrol ini dimaksudkan untuk mengurangi serangan pada sistem cloud. Sama seperti tanda peringatan di pagar atau properti, kontrol jera biasanya mengurangi tingkat ancaman dengan menginformasikan penyerang potensial bahwa akan ada konsekuensi buruk bagi mereka jika mereka melanjutkan. (Beberapa menganggap mereka bagian dari kontrol pencegahan.)
Kontrol Pencegahan
Kontrol preventif memperkuat sistem terhadap insiden, umumnya dengan mengurangi jika tidak benar-benar menghilangkan kerentanan. Otentikasi yang kuat dari pengguna cloud, misalnya, membuat kecil kemungkinan pengguna yang tidak sah dapat mengakses sistem cloud, dan lebih mungkin pengguna cloud diidentifikasi secara positif.
Kontrol Detektif
Kontrol detektif dimaksudkan untuk mendeteksi dan bereaksi secara tepat terhadap setiap insiden yang terjadi. Jika terjadi serangan, kontrol detektif akan menandakan kontrol preventif atau korektif untuk mengatasi masalah tersebut. [8] Pemantauan
Keamanan sistem dan jaringan, termasuk pengaturan deteksi intrusi dan pencegahan, biasanya digunakan untuk mendeteksi serangan pada sistem cloud dan infrastruktur komunikasi pendukung.
Kontrol Korektif
Kontrol korektif mengurangi konsekuensi dari suatu insiden, biasanya dengan membatasi kerusakan. Mereka mulai berlaku selama atau setelah insiden. Memulihkan cadangan sistem untuk membangun kembali sistem yang disusupi adalah contoh dari kontrol korektif.
Umumnya direkomendasikan bahwa kontrol
Keamanan informasi dipilih dan diterapkan sesuai dan sebanding dengan risikonya, biasanya dengan menilai ancaman, kerentanan dan dampaknya. Kekhawatiran
Keamanan cloud dapat dikelompokkan dalam berbagai cara; Gartner menamai tujuh sementara Cloud Security Alliance mengidentifikasi dua belas area yang menjadi perhatian. Broker
Keamanan akses cloud (CASBs) adalah perangkat lunak yang berada di antara pengguna cloud dan aplikasi cloud untuk memberikan visibilitas ke penggunaan aplikasi cloud, perlindungan data dan tata kelola untuk memantau semua aktivitas dan menegakkan kebijakan
Keamanan.
Manajemen Identitas
Setiap perusahaan akan memiliki sistem manajemen identitasnya sendiri untuk mengontrol akses ke informasi dan sumber daya
komputasi. Penyedia Cloud mengintegrasikan sistem manajemen identitas pelanggan ke dalam infrastruktur mereka sendiri, menggunakan teknologi federasi atau SSO, atau sistem identifikasi berbasis biometrik, atau menyediakan sistem manajemen identitas mereka sendiri. CloudID, misalnya, menyediakan identifikasi biometrik berbasis cloud dan lintas perusahaan yang melestarikan privasi. Ini menghubungkan informasi rahasia dari pengguna ke biometrik mereka dan menyimpannya secara terenkripsi. Memanfaatkan teknik enkripsi yang dapat dicari, identifikasi biometrik dilakukan dalam domain terenkripsi untuk memastikan bahwa penyedia cloud atau penyerang potensial tidak mendapatkan akses ke data sensitif atau bahkan isi dari pertanyaan individu.
Keamanan fisik
Penyedia layanan cloud secara fisik mengamankan perangkat keras TI (server, router, kabel, dll.) Terhadap akses tidak sah, gangguan, pencurian, kebakaran, banjir, dll. Dan memastikan bahwa pasokan penting (seperti listrik) cukup kuat untuk meminimalkan kemungkinan gangguan. Ini biasanya dicapai dengan melayani aplikasi cloud dari 'kelas dunia' (yaitu pusat data yang ditentukan secara profesional, dirancang, dibangun, dikelola, dipantau dan dipelihara).
Keamanan personil
Berbagai masalah
Keamanan informasi yang berkaitan dengan TI dan profesional lain yang terkait dengan layanan cloud biasanya ditangani melalui kegiatan pra-, para dan pasca-kerja seperti perekrutan potensi perekrutan
Keamanan, kesadaran
Keamanan dan program pelatihan, proaktif.
Pribadi
Penyedia memastikan bahwa semua data penting (nomor kartu kredit, misalnya) ditutupi atau dienkripsi dan hanya pengguna yang berwenang yang memiliki akses ke data secara keseluruhan. Selain itu, identitas dan kredensial digital harus dilindungi sebagaimana seharusnya data apa pun yang dikumpulkan atau dihasilkan oleh penyedia tentang aktivitas pelanggan di cloud.
= Vulnerability and Penetration Testing awan
=
Pemindaian bisa dari luar dan dalam menggunakan produk gratis atau komersial sangat penting karena tanpa lingkungan yang keras layanan Anda dianggap sebagai sasaran empuk. Server virtual harus dikeraskan seperti server fisik terhadap kebocoran data, malware, dan kerentanan yang dieksploitasi. "Kehilangan data atau kebocoran mewakili 24,6% dan malware terkait cloud 3,4% dari ancaman yang menyebabkan pemadaman cloud"
Pengujian pemindaian dan penetrasi dari dalam atau di luar
awan perlu disahkan oleh penyedia cloud. Karena cloud adalah lingkungan bersama dengan penyewa lain yang mengikuti aturan pengujian penetrasi dari keterlibatan selangkah demi selangkah adalah persyaratan wajib. Pelanggaran terhadap kebijakan penggunaan yang dapat diterima yang dapat menyebabkan penghentian layanan.
Sejumlah ancaman
Keamanan dikaitkan dengan layanan data cloud: tidak hanya ancaman
Keamanan tradisional, seperti penyadapan jaringan, invasi ilegal, dan penolakan serangan layanan, tetapi juga ancaman
komputasi awan tertentu, seperti serangan saluran samping, kerentanan virtualisasi, dan penyalahgunaan layanan cloud. Persyaratan
Keamanan berikut membatasi ancaman.
= Kerahasiaan
=
Kerahasiaan data adalah properti yang konten data tidak tersedia atau diungkapkan kepada pengguna ilegal. Data yang dialihdayakan disimpan di
awan dan di luar kendali langsung pemilik. Hanya pengguna yang berwenang yang dapat mengakses data sensitif sementara yang lain, termasuk CSP, tidak boleh mendapatkan informasi apa pun dari data tersebut. Sementara itu, pemilik data berharap untuk sepenuhnya menggunakan layanan data cloud, misalnya, penelusuran data, penghitungan data, dan pembagian data, tanpa kebocoran konten data ke CSP atau lawan lainnya.
= Pengendalian akses
=
Access controllability berarti bahwa pemilik data dapat melakukan pembatasan selektif akses ke dirinya atau datanya dialihdayakan ke cloud. Pengguna legal dapat diotorisasi oleh pemiliknya untuk mengakses data, sementara yang lain tidak dapat mengaksesnya tanpa izin. Lebih lanjut, diinginkan untuk memberlakukan kontrol akses halus ke data yang dialihdayakan, yaitu, pengguna yang berbeda harus diberikan hak akses yang berbeda terkait dengan potongan data yang berbeda. Otorisasi akses harus dikontrol hanya oleh pemilik dalam lingkungan cloud yang tidak dipercaya.
= Integritas
=
Integritas data menuntut pemeliharaan dan menjamin keakuratan dan kelengkapan data. Seorang pemilik data selalu mengharapkan bahwa datanya di cloud dapat disimpan dengan benar dan dapat dipercaya. Ini berarti bahwa data tidak boleh dirusak secara ilegal, dimodifikasi secara tidak tepat, sengaja dihapus, atau dibuat secara jahat. Jika ada operasi yang tidak diinginkan merusak atau menghapus data, pemilik harus dapat mendeteksi korupsi atau kehilangan. Lebih lanjut, ketika sebagian dari data yang di-outsource rusak atau hilang, itu masih dapat diambil oleh pengguna data.
Enkripsi
Beberapa algoritma enkripsi canggih yang telah diterapkan ke dalam
komputasi awan meningkatkan perlindungan privasi. Dalam praktik yang disebut crypto-shredding, kunci dapat dengan mudah dihapus ketika tidak ada lagi penggunaan data.
= Enkripsi berbasis atribut (ABE)
=
Penyandian berbasis atribut adalah jenis enkripsi kunci publik di mana kunci rahasia dari pengguna dan ciphertext bergantung pada atribut (misalnya negara tempat ia tinggal, atau jenis langganan yang dimilikinya). Dalam sistem seperti itu, dekripsi ciphertext hanya mungkin jika himpunan atribut kunci pengguna sesuai dengan atribut ciphertext.
Kebijakan-Ciphertext ABE (CP-ABE)
Di CP-ABE, enkripsi mengontrol strategi akses. Pekerjaan penelitian utama CP-ABE difokuskan pada desain struktur akses.
Kebijakan kunci ABE (KP-ABE)
Di KP-ABE, set atribut digunakan untuk mendeskripsikan teks terenkripsi dan kunci privat terkait dengan kebijakan tertentu yang akan dimiliki pengguna.
= Enkripsi sepenuhnya homomorfik (FHE)
=
Enkripsi sepenuhnya homomorfik memungkinkan perhitungan pada data terenkripsi, dan juga memungkinkan jumlah dan produk
komputasi untuk data terenkripsi tanpa dekripsi.
= Enkripsi yang dapat dicari (SE)
=
Enkripsi yang dapat dicari adalah sistem kriptografi yang menawarkan fungsi pencarian aman di atas data terenkripsi.
Skema SE dapat diklasifikasikan menjadi dua kategori: SE berdasarkan kriptografi kunci rahasia (atau kunci simetrik), dan SE berdasarkan kriptografi kunci publik. Untuk meningkatkan efisiensi pencarian, kunci simetrik SE umumnya membangun indeks kata kunci untuk menjawab pertanyaan pengguna.
Pemenuhan
Banyak undang-undang dan peraturan yang berkaitan dengan penyimpanan dan penggunaan data. Di AS ini termasuk undang-undang privasi atau perlindungan data, Standar
Keamanan Data Industri Kartu Pembayaran (PCI DSS), Asuransi Kesehatan Portabilitas dan Akuntabilitas Act (HIPAA), Sarbanes-Oxley Act, Undang-Undang Pengelolaan
Keamanan Informasi Federal 2002 (FISMA), dan Undang-Undang Perlindungan Privasi Online Anak-anak tahun 1998, antara lain.
Undang-undang serupa dapat berlaku di yurisdiksi hukum yang berbeda dan mungkin sangat berbeda dengan yang diberlakukan di AS. Pengguna layanan Cloud sering kali perlu menyadari perbedaan hukum dan peraturan antara yurisdiksi. Sebagai contoh, data yang disimpan oleh penyedia layanan cloud dapat ditempatkan di, katakanlah, Singapura dan dicerminkan di AS..
Banyak dari peraturan ini yang mengharuskan kontrol tertentu (seperti kontrol akses yang kuat dan jejak audit) dan memerlukan pelaporan berkala. Pelanggan Cloud harus memastikan bahwa penyedia cloud mereka memenuhi persyaratan tersebut dengan tepat, memungkinkan mereka untuk memenuhi kewajiban mereka karena, untuk sebagian besar, mereka tetap bertanggung jawab.
Kelanjutan bisnis dan pemulihan data
Penyedia Cloud memiliki kesinambungan bisnis dan rencana pemulihan data untuk memastikan bahwa layanan dapat dipertahankan jika terjadi bencana atau keadaan darurat dan kehilangan data apa pun akan dipulihkan. Rencana ini dapat dibagikan dengan dan ditinjau oleh pelanggan mereka, idealnya selaras dengan pengaturan keberlanjutan pelanggan sendiri. Latihan kesinambungan bersama mungkin tepat, mensimulasikan kegagalan pasokan internet atau listrik utama misalnya.
Jejak log dan audit
Selain memproduksi log dan jejak audit, penyedia cloud bekerja dengan pelanggan mereka untuk memastikan bahwa log dan jejak audit ini diamankan dengan benar, dipertahankan selama pelanggan membutuhkan, dan dapat diakses untuk keperluan penyelidikan forensik (misalnya, eDiscovery) .
Persyaratan kepatuhan yang unik
Selain persyaratan yang menjadi subjek pelanggan, pusat data yang digunakan oleh penyedia cloud juga dapat tunduk pada persyaratan kepatuhan. Menggunakan penyedia layanan cloud (CSP) dapat menyebabkan masalah
Keamanan tambahan di sekitar yurisdiksi data karena data pelanggan atau penyewa tidak boleh tetap berada di sistem yang sama, atau di pusat data yang sama atau bahkan di dalam
awan penyedia yang sama.
Peraturan GDPR Uni Eropa telah memperkenalkan persyaratan kepatuhan baru untuk data pelanggan.
Masalah hukum dan kontrak
Selain masalah
Keamanan dan kepatuhan yang disebutkan di atas, penyedia cloud dan pelanggan mereka akan menegosiasikan ketentuan seputar kewajiban (menetapkan bagaimana insiden yang melibatkan kehilangan data atau kompromi akan diselesaikan, misalnya), kekayaan intelektual, dan akhir layanan (ketika data dan aplikasi akhirnya dikembalikan ke pelanggan). Selain itu, ada pertimbangan untuk memperoleh data dari cloud yang mungkin terlibat dalam litigasi. Masalah-masalah ini dibahas dalam perjanjian tingkat layanan (SLA).
= Catatan publik
=
Masalah hukum juga dapat mencakup persyaratan penyimpanan catatan di sektor publik, di mana banyak lembaga diwajibkan oleh hukum untuk menyimpan dan membuat catatan elektronik yang tersedia dengan cara tertentu. Ini dapat ditentukan oleh undang-undang, atau undang-undang mungkin mengharuskan agen untuk mematuhi aturan dan praktik yang ditetapkan oleh lembaga pencatatan. Lembaga publik yang menggunakan
komputasi awan dan penyimpanan harus mempertimbangkan masalah ini.
Bacaan lanjutan
Mowbray, Miranda (2009). "The Fog over the Grimpen Mire: Cloud Computing and the Law". SCRIPTed. 6 (1): 129. Diarsipkan dari versi asli tanggal 2015-12-21. Diakses tanggal 2018-10-21.
Mather, Tim; Kumaraswamy, Subra; Latif, Shahed (2009). Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance. O'Reilly Media, Inc. ISBN 9780596802769.
Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Elsevier. ISBN 9781597495929.
Ottenheimer, Davi (2012). Securing the Virtual Environment: How to Defend the Enterprise Against Attack. Wiley. ISBN 9781118155486.
Haghighat, Mohammad (2015). "CloudID: Trustworthy Cloud-based and Cross-Enterprise Biometric Identification". Expert Systems with Applications. 42 (21): 7905–7916. doi:10.1016/j.eswa.2015.06.025.
BS ISO/IEC 27017: "Information technology. Security techniques. Code of practice for information security controls based on ISO/IEC 27002 for cloud services." (2015)
BS ISO/IEC 27018: "Information technology. Security techniques. Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors." (2014)
BS ISO/IEC 27036-4: "Information technology. Security techniques. Information security for supplier relationships. Guidelines for security of cloud services" (2016)
Referensi
Pranala luar
www.ciphercloud.com/what-is-cloud-security What is Cloud Security Diarsipkan 2018-10-18 di Wayback Machine.
Cloud Security Alliance
Why cloud security requires multiple layers
Data Security Breaches Infographics
The Beginner's Guide to Cloud Security
DoD Cloud Computing Security Requirements Guide (CC SRG) Diarsipkan 2018-10-21 di Wayback Machine.