Meningkatnya adopsi layanan aplikasi Cloud membuat para peretas juga mulai mengalihkan perhatian. Menurut laporan 451 Research pada 2021 lalu, sekitar 40% organisasi mengalami kebocoran data di lingkungan Cloud.
Baca Juga: Cloud Computing, Pondasi Startup di Indonesia
Senada dengan itu, studi lain dari Cybersecurity Insiders pada 2021 menyebutkan bahwa kondisi keamanan Public Cloud pada 32% organisasi berada dalam tahap memprihatinkan, dan 41% lainnya cukup memprihatinkan. Sementara itu, hanya 28% organisasi yang sangat percaya terhadap postur keamanan infrastruktur Cloud mereka.
Ini cukup jelas bahwa keamanan Cloud masih perlu diperhatikan, dan perusahaan yang ingin sepenuhnya memanfaatkan layanan Cloud tidak dapat mengabaikan aspek keamanan serta harus mengambil langkah-langkah yang diperlukan untuk melindungi aplikasi Cloud perusahaan.
Berbagi tanggung jawab keamanan aplikasi Cloud
Penyedia jasa Cloud, baik IaaS (Infrastructure as a Service), PaaS (Platform as a Service), dan SaaS (Software as a Service) berperan penting dalam pengamanan aplikasi yang dijalankan di infrastrukturnya. Namun, tanggung jawab atas keamanan ini dibagi dengan pelanggannya (shared responsibility).
Sebagai contoh, penyedia IaaS bertanggung jawab atas keamanan fisik infrastruktur Cloud. Tidak sembarang orang bisa memasuki dan mengakses Data Center yang menyimpan data dan aplikasi milik pelanggan.
Penyedia IaaS juga wajib mengamankan infrastruktur mesin virtual, storage dan jaringan. Namun, pelanggan harus mengamankan sistem operasi dan aplikasi yang dijalankannya sendiri.
Penyedia PaaS dan SaaS bertanggung jawab atas lebih banyak aspek keamanan layanan Cloudnya. Sebagai contoh, penyedia layanan akan bertanggung jawab mengamankan data pembayaran dan kredensial pelanggan. Namun, perlindungan terhadap aplikasi dan data yang tersimpan tetap menjadi tugas pelanggan.
Perusahaan sudah seharusnya merumuskan kebijakan keamanan Cloud. Kebijakan tersebut seharusnya menyentuh hal-hal seperti bagaimana interaksi karyawan dengan Cloud, jenis data yang dapat dikirim dan disimpan, kendali akses, dan sebagainya. Pastikan juga bahwa perusahaan mengetahui perlindungan apa saja yang menjadi tanggung jawab penyedia Cloud.
Baca Juga: Keuntungan Memakai Cloud Dibandingkan Penyimpanan Konvensional
Berikut daftar praktik yang dianjurkan untuk melindungi aplikasi Cloud. Beberapa mungkin harus disesuaikan dengan jenis layanan yang digunakan (IaaS, PaaS, atau SaaS).
- Bangun pemodelan ancaman keamanan
Agar dapat mengantisipasi ancaman siber yang mungkin terjadi, tim keamanan dapat membuat pemodelan ancaman keamanan (threat modeling). Pemodelan ini menjelaskan bagian-bagian aplikasi Cloud, dan menganalisis interaksi bagian-bagian tersebut dari mata peretas. Dengan demikian, tim keamanan dapat mengambil langkah-langkah yang diperlukan untuk memulihkan sistem bila terjadi serangan terhadap kerawanan sistem yang belum diketahui. - Petakan dan uji interaksi semua komponen aplikasi
Tim keamanan harus memeriksa semua komponen aplikasi baik secara terpisah maupun secara holistik. Panduan dari Open Web Application Security Project dapat membantu praktik ini. - Enkripsi data yang tersimpan (at rest), maupun saat pengiriman (in transit)
Penyedia layanan IaaS mungkin sudah menyediakan kemampuan untuk enkripsi mesin virtual baik, secara default maupun opsional. - Perbarui dan tambal (patch) perangkat lunak dan sistem operasi secara teratur (bila menggunakan IaaS)
Seperti juga peladen (server) on-premise, perangkat lunak mesin-mesin virtual dan aplikasi Cloud harus selalu up-to-date untuk mencegah peretas menembus lubang keamanan yang sebenarnya sudah ditambal oleh vendor. - Pantau dan buat daftar inventaris aset di Cloud
Pastikan bahwa staf IT mengetahui semua mesin virtual, storage, dan sumber daya lainnya yang digunakan oleh perusahaan, dan tim mana saja yang menggunakannya. - Pengelolaan akses
Menentukan kebijakan hak akses terhadap aset di Cloud. Hak akses ini bisa berkisar dari akses terhadap aplikasi, middleware, dan akses administrasi di level sistem operasi. Terdapat juga hak lain, seperti akses ke konsol layanan IaaS. Kebijakan terhadap semua hak akses ini harus dirumuskan, dikelola, dan dipantau dengan jelas. - Manfaatkan layanan keamanan yang disediakan penyedia layanan
Fitur seperti Next Generation Firewall, Web Application Firewall, dan sebagainya dapat membantu melindungi aplikasi - Gunakan skema autentikasi lanjut
Seperti autentikasi multifaktor (Multifactor Authentication, atau MFA) untuk mempersulit pencurian kredensial.
Peran Managed SOC
Tim keamanan siber bertanggung jawab untuk melindungi semua aset IT perusahaan, baik di lingkungan sendiri (on-premise) maupun yang berada di Cloud. Ketika aksi peretasan terjadi terhadap aset IT di Cloud, tim keamanan siber perusahaan wajib untuk mendeteksi dan menanggapi secepat mungkin. Ini adalah tugas Security Operation Center (SOC).
Membangun SOC secara mandiri tidak mudah, tidak hanya dari beban biaya tetapi juga perekrutan tenaga profesional terlatih. Solusi yang lebih mudah dan cepat adalah memanfaatkan layanan Managed SOC.
Baca Juga: Peran Public Cloud di Era Kerja Hibrida
Lintasarta menyediakan layanan keamanan yang menyeluruh untuk mengamankan aset Anda di layanan Cloud. Lintasarta Managed SOC beroperasi setiap saat, 24 jam untuk mencegah, mendeteksi, menilai, dan menanggapi ancaman dan insiden keamanan siber. Sementara itu, bila Anda menggunakan layanan Cloud Lintasarta, Anda bisa menggunakan layanan Next Generation Firewall dan Web Application Firewall sebagai perlindungan ekstra.
Untuk pengetahuan tambahan tentang keamanan di layanan Cloud, simak juga video YouTube Lintasarta Tech In 5 berjudul Amankah menyimpan data di Cloud? Silakan hubungi kami untuk informasi lebih lanjut tentang layanan keamanan Lintasarta untuk aplikasi Cloud.