Apa yang dimaksud dengan Keamanan Cloud?

Kategori komputasi awan

Keamanan cloud berbeda berdasarkan kategori komputasi cloud yang digunakan. Ada empat kategori utama komputasi awan:

• Layanan cloud publik, yang dioperasikan oleh penyedia cloud publik - Ini termasuk perangkat lunak-sebagai-layanan (SaaS), infrastruktur-sebagai-layanan (IaaS), dan platform-sebagai-layanan (PaaS).
• Layanan cloud pribadi, yang dioperasikan oleh penyedia cloud publik - Layanan ini menyediakan lingkungan komputasi yang didedikasikan untuk satu pelanggan, yang dioperasikan oleh pihak ketiga.
• Layanan cloud pribadi, yang dioperasikan oleh staf internal - Layanan ini merupakan evolusi dari pusat data tradisional, di mana staf internal mengoperasikan lingkungan virtual yang mereka kendalikan.
• Layanan cloud hybrid - Konfigurasi komputasi cloud pribadi dan publik dapat digabungkan, menghosting beban kerja dan data berdasarkan faktor pengoptimalan seperti biaya, keamanan, operasi, dan akses. Pengoperasiannya akan melibatkan staf internal, dan secara opsional, penyedia cloud publik.

Saat menggunakan layanan komputasi awan yang disediakan oleh penyedia awan publik, data dan aplikasi di-host pada pihak ketiga, yang menandai perbedaan mendasar antara komputasi awan dan TI tradisional, di mana sebagian besar data disimpan di dalam jaringan yang dikendalikan sendiri. Memahami tanggung jawab keamanan Anda adalah langkah pertama untuk membangun strategi keamanan cloud.

Segmentasi tanggung jawab keamanan cloud

Sebagian besar penyedia layanan cloud berusaha menciptakan cloud yang aman bagi pelanggan. Model bisnis mereka bergantung pada pencegahan pelanggaran dan menjaga kepercayaan publik dan pelanggan. Penyedia layanan cloud dapat berusaha menghindari masalah keamanan cloud dengan layanan yang mereka sediakan, tetapi tidak dapat mengontrol bagaimana pelanggan menggunakan layanan tersebut, data apa saja yang mereka tambahkan, dan siapa saja yang memiliki akses. Pelanggan dapat melemahkan keamanan siber di cloud dengan konfigurasi, data sensitif, dan kebijakan akses mereka. Di setiap jenis layanan cloud publik, penyedia cloud dan pelanggan cloud berbagi tingkat tanggung jawab yang berbeda untuk keamanan. Berdasarkan jenis layanan, ini adalah:

• Perangkat lunak sebagai layanan (SaaS ) - Pelanggan bertanggung jawab untuk mengamankan data dan akses pengguna.
• Platform-as-a-service (PaaS ) - Pelanggan bertanggung jawab untuk mengamankan data, akses pengguna, dan aplikasi mereka.
• Infrastructure-as-a-service (IaaS ) - Pelanggan bertanggung jawab untuk mengamankan data, akses pengguna, aplikasi, sistem operasi, dan lalu lintas jaringan virtual mereka.

Dalam semua jenis layanan cloud publik, pelanggan bertanggung jawab untuk mengamankan data mereka dan mengendalikan siapa yang dapat mengakses data tersebut. Keamanan data dalam komputasi awan merupakan hal yang sangat penting untuk berhasil mengadopsi dan mendapatkan manfaat dari awan. Organisasi yang mempertimbangkan penawaran SaaS populer seperti Microsoft Office 365 atau Salesforce perlu merencanakan bagaimana mereka akan memenuhi tanggung jawab bersama untuk melindungi data di cloud. Mereka yang mempertimbangkan penawaran IaaS seperti Amazon Web Services (AWS) atau Microsoft Azure membutuhkan rencana yang lebih komprehensif yang dimulai dengan data, tetapi juga mencakup keamanan aplikasi cloud, sistem operasi, dan lalu lintas jaringan virtual-yang masing-masing juga dapat menimbulkan potensi masalah keamanan data.

Tantangan keamanan cloud

Karena data di cloud publik disimpan oleh pihak ketiga dan diakses melalui internet, ada beberapa tantangan yang muncul dalam kemampuan untuk mempertahankan cloud yang aman. Tantangan-tantangan tersebut adalah:

• Visibilitas ke dalam data cloud - Dalam banyak kasus, layanan cloud diakses di luar jaringan perusahaan dan dari perangkat yang tidak dikelola oleh TI. Ini berarti bahwa tim TI membutuhkan kemampuan untuk melihat ke dalam layanan cloud itu sendiri untuk memiliki visibilitas penuh atas data, sebagai lawan dari cara tradisional untuk memantau lalu lintas jaringan.
• Kontrol atas data cloud - Dalam lingkungan penyedia layanan cloud pihak ketiga, tim TI memiliki lebih sedikit akses ke data dibandingkan saat mereka mengendalikan server dan aplikasi di tempat mereka sendiri. Pelanggan cloud diberikan kontrol terbatas secara default, dan akses ke infrastruktur fisik yang mendasarinya tidak tersedia.
• Akses ke data dan aplikasi cloud -Pengguna dapat mengakses aplikasi dan data cloud melalui internet, sehingga kontrol akses berdasarkan perimeter jaringan pusat data tradisional tidak lagi efektif. Akses pengguna dapat dilakukan dari lokasi atau perangkat mana pun, termasuk teknologi bring-your-own-device (BYOD). Selain itu, akses istimewa oleh personel penyedia cloud dapat melewati kontrol keamanan Anda sendiri.
• Kepatuhan - Penggunaan layanan komputasi awan menambahkan dimensi lain pada kepatuhan terhadap peraturan dan internal. Lingkungan cloud Anda mungkin perlu mematuhi persyaratan peraturan seperti HIPAA, PCI, dan Sarbanes-Oxley, serta persyaratan dari tim internal, mitra, dan pelanggan. Infrastruktur penyedia cloud, serta antarmuka antara sistem internal dan cloud juga termasuk dalam proses kepatuhan dan manajemen risiko.
• Pelanggaran cloud-native- Pelanggaran data di cloud tidak seperti pelanggaran di lokasi, karena pencurian data sering kali terjadi dengan menggunakan fungsi asli cloud. Pelanggaran Cloud-native adalah serangkaian tindakan oleh aktor musuh di mana mereka "mendaratkan" serangan mereka dengan mengeksploitasi kesalahan atau kerentanan dalam penerapan cloud tanpa menggunakan malware, "memperluas" akses mereka melalui antarmuka yang dikonfigurasi dengan lemah atau terlindungi untuk menemukan data yang berharga, dan "menyusup" data tersebut ke lokasi penyimpanan mereka sendiri.
• Kesalahan konfigurasi - Pelanggaran cloud-native sering kali menjadi tanggung jawab pelanggan cloud untuk keamanan, yang mencakup konfigurasi layanan cloud. Penelitian menunjukkan bahwa hanya 26% perusahaan yang saat ini dapat mengaudit lingkungan IaaS mereka untuk kesalahan konfigurasi. Kesalahan konfigurasi IaaS sering kali bertindak sebagai pintu depan menuju pelanggaran Cloud-native, yang memungkinkan penyerang berhasil masuk dan kemudian melanjutkan untuk memperluas dan mengeksfiltrasi data. Penelitian juga menunjukkan 99% kesalahan konfigurasi tidak disadari oleh pelanggan cloud. Berikut adalah kutipan dari penelitian ini yang menunjukkan tingkat kesalahan konfigurasi yang terputus:

• Pemulihan bencana - Perencanaan keamanan siber diperlukan untuk melindungi dampak pelanggaran negatif yang signifikan. Rencana pemulihan bencana mencakup kebijakan, prosedur, dan alat yang dirancang untuk memungkinkan pemulihan data dan memungkinkan organisasi untuk melanjutkan operasi dan bisnis.
• Ancaman orang dalam - Karyawan yang nakal dapat menggunakan layanan cloud untuk mengekspos organisasi pada pelanggaran keamanan siber. Laporan McAfee Cloud Adoption and Risk Report baru-baru ini mengungkapkan aktivitas tidak biasa yang mengindikasikan adanya ancaman orang dalam di 85% organisasi.

Solusi keamanan cloud

Organisasi yang mencari solusi keamanan cloud harus mempertimbangkan kriteria berikut untuk mengatasi tantangan keamanan cloud utama yaitu visibilitas dan kontrol atas data cloud.

• Visibilitas ke dalam data cloud - Tampilan lengkap data cloud membutuhkan akses langsung ke layanan cloud. Solusi keamanan cloud mencapai hal ini melalui koneksi antarmuka pemrograman aplikasi (API) ke layanan cloud. Dengan koneksi API, dimungkinkan untuk melihat:
  • Data apa saja yang disimpan di cloud.
  • Siapa yang menggunakan data cloud?
  • Peran pengguna yang memiliki akses ke data cloud.
  • Dengan siapa pengguna cloud berbagi data.
  • Di mana data cloud berada.
  • Dari mana data cloud diakses dan diunduh, termasuk dari perangkat mana.
• Kontrol atas data cloud - Setelah Anda memiliki visibilitas ke data cloud, terapkan kontrol yang paling sesuai dengan organisasi Anda. Kontrol ini meliputi:
  • Klasifikasi data - Mengklasifikasikan data pada berbagai tingkatan, seperti sensitif, diatur, atau publik, saat data dibuat di cloud. Setelah diklasifikasikan, data dapat dihentikan untuk masuk atau keluar dari layanan cloud.
  • Data Loss Prevention (DLP ) - Menerapkan solusi DLP cloud untuk melindungi data dari akses yang tidak sah dan secara otomatis menonaktifkan akses dan pengangkutan data ketika aktivitas mencurigakan terdeteksi.
  • Kontrol kolaborasi - Kelola kontrol dalam layanan cloud, seperti menurunkan izin file dan folder untuk pengguna tertentu menjadi editor atau penampil, menghapus izin, dan mencabut tautan bersama.
  • Enkripsi - Enkripsi data cloud dapat digunakan untuk mencegah akses yang tidak sah ke data, meskipun data tersebut disusupi atau dicuri.
• Akses ke data dan aplikasi cloud- Seperti halnya keamanan internal, kontrol akses adalah komponen penting dari keamanan cloud. Kontrol yang umum meliputi:
  • Kontrol akses pengguna - Menerapkan kontrol akses sistem dan aplikasi yang memastikan hanya pengguna yang berwenang yang mengakses data dan aplikasi cloud. A Cloud Access Security Broker (CASB) dapat digunakan untuk menerapkan kontrol akses
  • Kontrol akses perangkat - Memblokir akses ketika perangkat pribadi yang tidak sah mencoba mengakses data cloud.
  • Identifikasi perilaku berbahaya - Mendeteksi akun yang disusupi dan ancaman orang dalam dengan analisis perilaku pengguna (UBA) agar eksfiltrasi data berbahaya tidak terjadi.
  • Pencegahan malware - Mencegah malware memasuki layanan cloud menggunakan teknik seperti pemindaian file, daftar putih aplikasi, deteksi malware berbasis pembelajaran mesin, dan analisis lalu lintas jaringan.
  • Akses istimewa - Identifikasi semua bentuk akses yang mungkin dimiliki oleh akun istimewa terhadap data dan aplikasi Anda, dan terapkan kontrol untuk mengurangi paparan.
• Kepatuhan - Persyaratan dan praktik kepatuhan yang ada harus ditambah dengan menyertakan data dan aplikasi yang berada di cloud.
  • Penilaian risiko - Tinjau dan perbarui penilaian risiko untuk menyertakan layanan cloud. Mengidentifikasi dan mengatasi faktor risiko yang ditimbulkan oleh lingkungan dan penyedia layanan cloud. Database risiko untuk penyedia layanan cloud tersedia untuk mempercepat proses penilaian.
  • Penilaian Kepatuhan - Tinjau dan perbarui penilaian kepatuhan untuk PCI, HIPAA, Sarbanes-Oxley, dan persyaratan peraturan aplikasi lainnya.