Loncat ke konten utama
Kembali ke Pertanyaan

Masalah Keamanan Komputasi Awan

Komputasi awan menghadirkan banyak masalah dan tantangan keamanan yang unik. Di awan, data disimpan dengan penyedia pihak ketiga dan diakses melalui internet. Ini berarti visibilitas dan kontrol atas data itu terbatas. Hal ini juga menimbulkan pertanyaan tentang bagaimana data tersebut dapat diamankan dengan baik. Sangat penting bagi setiap orang untuk memahami peran mereka masing-masing dan masalah keamanan yang melekat pada komputasi awan. Penyedia layanan cloud memperlakukan masalah dan risiko keamanan cloud sebagai tanggung jawab bersama. Dalam model ini, penyedia layanan cloud menanggung keamanan cloud itu sendiri, dan pelanggan menanggung keamanan dari apa yang mereka masukkan ke dalamnya. Di setiap layanan cloud - dari software-as-a-service (SaaS) seperti Microsoft 365 hingga infrastructure-as-a-service (IaaS) seperti Amazon Web Services (AWS) - pelanggan komputasi awan selalu bertanggung jawab untuk melindungi data mereka dari ancaman keamanan dan mengontrol akses ke data tersebut. Sebagian besar risiko keamanan komputasi awan terkait dengan keamanan data awan. Baik kurangnya visibilitas terhadap data, ketidakmampuan untuk mengontrol data, atau pencurian data di cloud, sebagian besar masalah kembali pada data yang dimasukkan pelanggan ke dalam cloud. Baca di bawah ini untuk mengetahui analisis masalah keamanan cloud teratas di SaaS, IaaS, dan cloud pribadi, yang diurutkan berdasarkan seberapa sering masalah tersebut dialami oleh organisasi perusahaan di seluruh dunia.

10 Masalah Keamanan Cloud SaaS Teratas

  1. Kurangnya visibilitas terhadap data yang ada di dalam aplikasi cloud
  2. Pencurian data dari aplikasi cloud oleh aktor jahat
  3. Kontrol yang tidak lengkap atas siapa yang dapat mengakses data sensitif
  4. Ketidakmampuan untuk memantau data dalam perjalanan ke dan dari aplikasi cloud
  5. Aplikasi cloud disediakan di luar visibilitas TI (mis., TI bayangan)
  6. Kurangnya staf yang memiliki keahlian untuk mengelola keamanan untuk aplikasi cloud
  7. Ketidakmampuan untuk mencegah pencurian orang dalam yang jahat atau penyalahgunaan data
  8. Ancaman dan serangan tingkat lanjut terhadap penyedia aplikasi cloud
  9. Ketidakmampuan untuk menilai keamanan operasi penyedia aplikasi cloud
  10. Ketidakmampuan untuk mempertahankan kepatuhan terhadap peraturan

Masalah keamanan cloud SaaS secara alami berpusat pada data dan akses karena sebagian besar model tanggung jawab keamanan bersama menjadikan kedua hal tersebut sebagai tanggung jawab tunggal pelanggan SaaS. Adalah tanggung jawab setiap organisasi untuk memahami data apa yang mereka taruh di cloud, siapa saja yang bisa mengaksesnya, dan tingkat perlindungan apa yang mereka (dan penyedia cloud) terapkan.

Penting juga untuk mempertimbangkan peran penyedia SaaS sebagai titik akses potensial ke data dan proses organisasi. Perkembangan seperti munculnya ransomware XcodeGhost dan GoldenEye menekankan bahwa penyerang mengenali nilai perangkat lunak dan penyedia cloud sebagai vektor untuk menyerang aset yang lebih besar. Akibatnya, para penyerang telah meningkatkan fokus mereka pada potensi kerentanan ini. Untuk melindungi organisasi Anda dan datanya, pastikan Anda meneliti program keamanan penyedia layanan cloud Anda. Tetapkan ekspektasi untuk memiliki audit pihak ketiga yang dapat diprediksi dengan laporan bersama dan bersikeras pada persyaratan pelaporan pelanggaran untuk melengkapi solusi teknologi.

10 Masalah Keamanan Cloud IaaS Teratas

  1. Beban kerja cloud dan akun yang dibuat di luar visibilitas TI (mis., TI bayangan)
  2. Kontrol yang tidak lengkap atas siapa yang dapat mengakses data sensitif
  3. Pencurian data yang dihosting di infrastruktur cloud oleh pihak jahat
  4. Kurangnya staf yang memiliki keterampilan untuk mengamankan infrastruktur cloud
  5. Kurangnya visibilitas terhadap data yang ada di cloud
  6. Ketidakmampuan untuk mencegah pencurian orang dalam yang jahat atau penyalahgunaan data
  7. Kurangnya kontrol keamanan yang konsisten pada lingkungan multi-cloud dan lingkungan lokal
  8. Ancaman dan serangan tingkat lanjut terhadap infrastruktur cloud
  9. Ketidakmampuan untuk memantau sistem dan aplikasi beban kerja cloud untuk mengetahui kerentanan
  10. Penyebaran serangan secara lateral dari satu beban kerja cloud ke beban kerja cloud lainnya

Melindungi data sangat penting dalam IaaS. Karena tanggung jawab pelanggan meluas ke aplikasi, lalu lintas jaringan, dan sistem operasi, ancaman tambahan pun muncul. Organisasi harus mempertimbangkan evolusi terbaru dalam serangan yang melampaui data sebagai pusat risiko IaaS. Aktor jahat melakukan pengambilalihan sumber daya komputasi untuk menambang mata uang kripto, dan mereka menggunakan kembali sumber daya tersebut sebagai vektor serangan terhadap elemen lain dari infrastruktur perusahaan dan pihak ketiga.

Saat membangun infrastruktur di cloud, penting untuk menilai kemampuan Anda dalam mencegah pencurian dan mengontrol akses. Menentukan siapa yang dapat memasukkan data ke dalam cloud, melacak modifikasi sumber daya untuk mengidentifikasi perilaku abnormal, mengamankan dan mengeraskan alat orkestrasi, serta menambahkan analisis jaringan lalu lintas utara-selatan dan timur-barat sebagai sinyal potensial terjadinya kompromi, semuanya dengan cepat menjadi langkah standar dalam melindungi penerapan infrastruktur cloud dalam skala besar.

5 Masalah Keamanan Cloud Pribadi Teratas

  1. Kurangnya kontrol keamanan yang konsisten yang mencakup server tradisional dan infrastruktur cloud pribadi tervirtualisasi
  2. Meningkatnya kompleksitas infrastruktur yang mengakibatkan lebih banyak waktu/upaya untuk implementasi dan pemeliharaan
  3. Kurangnya staf yang memiliki keahlian untuk mengelola keamanan untuk pusat data yang ditentukan oleh perangkat lunak (misalnya, komputasi virtual, jaringan, penyimpanan)
  4. Visibilitas yang tidak lengkap atas keamanan untuk pusat data yang ditentukan oleh perangkat lunak (mis., komputasi virtual, jaringan, penyimpanan)
  5. Ancaman dan serangan tingkat lanjut

Faktor penting dalam proses pengambilan keputusan untuk mengalokasikan sumber daya ke cloud publik vs cloud privat adalah kontrol yang disesuaikan dengan baik yang tersedia di lingkungan cloud privat. Dalam cloud pribadi, tingkat kontrol tambahan dan perlindungan tambahan dapat mengimbangi keterbatasan lain dari penerapan cloud pribadi dan dapat berkontribusi pada transisi praktis dari pusat data berbasis server monolitik.

Pada saat yang sama, organisasi harus mempertimbangkan bahwa mempertahankan kontrol yang disesuaikan dengan baik akan menciptakan kompleksitas, setidaknya melampaui apa yang telah dikembangkan oleh cloud publik. Saat ini, penyedia layanan cloud melakukan sebagian besar upaya untuk memelihara infrastrukturnya sendiri. Pengguna cloud dapat menyederhanakan manajemen keamanan dan mengurangi kompleksitas melalui abstraksi kontrol. Hal ini menyatukan platform cloud publik dan privat di atas dan di seluruh lingkungan fisik, virtual, dan hybrid.

Cara Mengurangi Masalah Keamanan Komputasi Awan yang Umum Terjadi

Organisasi Anda menggunakan layanan cloud, bahkan jika layanan cloud tersebut bukan merupakan strategi utama untuk teknologi informasi (TI) Anda. Untuk mengurangi risiko keamanan komputasi awan, ada tiga praktik terbaik yang harus dilakukan oleh semua organisasi:

  • Proses DevSecOps - DevOps dan DevSecOps telah berulang kali ditunjukkan untuk meningkatkan kualitas kode dan mengurangi eksploitasi dan kerentanan serta meningkatkan kecepatan pengembangan aplikasi dan penyebaran fitur. Mengintegrasikan proses pengembangan, QA, dan keamanan dalam unit bisnis atau tim aplikasi - alih-alih mengandalkan tim verifikasi keamanan yang berdiri sendiri - sangat penting untuk beroperasi dengan kecepatan yang dibutuhkan oleh lingkungan bisnis saat ini.
  • Penerapan aplikasi otomatis dan alat manajemen - Kurangnya keterampilan keamanan, dikombinasikan dengan meningkatnya volume dan kecepatan ancaman keamanan, berarti bahwa bahkan profesional keamanan yang paling berpengalaman pun tidak dapat mengikutinya. Otomatisasi yang menghilangkan tugas-tugas biasa dan menambah keunggulan manusia dengan keunggulan mesin adalah komponen fundamental dari operasi TI modern.
  • Keamanan terpadu dengan manajemen terpusat di semua layanan dan penyedia - Tidak ada satu produk atau vendor yang dapat memberikan segalanya, tetapi beberapa alat manajemen membuatnya terlalu mudah untuk lolos. Sistem manajemen terpadu dengan struktur integrasi terbuka mengurangi kerumitan dengan menyatukan bagian-bagiannya dan merampingkan alur kerja.

Akhirnya, ketika keputusan trade-off harus dibuat, visibilitas yang lebih baik harus menjadi prioritas No. 1, bukan kontrol yang lebih besar. Lebih baik dapat melihat semua yang ada di cloud, daripada mencoba mengendalikan bagian yang tidak lengkap.