Infrastructure-as-a-service (IaaS) menyediakan sumber daya komputasi tervirtualisasi, jaringan virtual, penyimpanan virtual, dan mesin virtual yang dapat diakses melalui internet. Layanan infrastruktur yang populer termasuk Elastic Compute (EC2) dari Amazon, Google Compute Engine, dan Microsoft Azure.
Penggunaan IaaS meningkat karena biaya awal yang rendah. Organisasi yang menggunakan layanan infrastruktur tidak perlu membeli atau memelihara perangkat keras. Hal ini membuat IaaS menarik bagi organisasi dari semua ukuran.
IaaS juga lebih terukur dan fleksibel daripada perangkat keras. Infrastruktur cloud dapat diperluas sesuai permintaan dan diperkecil kembali jika tidak lagi dibutuhkan. Tingkat skalabilitas ini tidak mungkin dilakukan dengan perangkat keras di tempat.
Namun, IaaS dapat menjadi target serangan siber yang mencoba membajak sumber daya IaaS untuk meluncurkan serangan penolakan layanan, menjalankan botnet, atau menambang mata uang kripto. Sumber daya penyimpanan dan basis data adalah target yang sering menjadi sasaran eksfiltrasi data dalam banyak pelanggaran data. Selain itu, penyerang yang berhasil menyusup ke layanan infrastruktur organisasi kemudian dapat memanfaatkan akun-akun tersebut untuk mendapatkan akses ke bagian lain dari arsitektur perusahaan.
![]()
Cara mengamankan IaaS
Pelanggan IaaS bertanggung jawab untuk mengamankan data, akses pengguna, aplikasi, sistem operasi, dan lalu lintas jaringan virtual mereka. Organisasi sering melakukan kesalahan berikut saat menggunakan IaaS:
Data yang tidak terenkripsi: Dalam lingkungan hibrida dan multi-cloud, data berpindah antara sumber daya di lokasi dan sumber daya berbasis cloud, dan di antara aplikasi cloud yang berbeda. Enkripsi sangat penting untuk melindungi data dari pencurian atau akses yang tidak sah. Sebuah organisasi dapat mengenkripsi data di lokasi, sebelum data tersebut masuk ke cloud, atau di cloud. Mereka dapat menggunakan kunci enkripsi mereka sendiri atau enkripsi penyedia IaaS. Departemen TI mungkin juga ingin mengenkripsi data dalam perjalanan. Banyak peraturan pemerintah dan industri yang mengharuskan data sensitif dienkripsi setiap saat, baik saat diam maupun bergerak.
Kesalahan konfigurasi: Penyebab umum insiden keamanan cloud adalah kesalahan konfigurasi sumber daya cloud. Penyedia layanan cloud mungkin menawarkan alat untuk mengamankan sumber daya mereka, namun profesional TI bertanggung jawab atas penggunaan alat yang benar. Contoh-contoh kesalahan umum meliputi:
- Port masuk atau keluar yang tidak dikonfigurasi dengan benar
- Autentikasi multi-faktor tidak diaktifkan
- Enkripsi data dimatikan
- Akses penyimpanan terbuka ke internet
Layanan bayangan: Akun cloud bayangan atau akun cloud nakal paling sering ditemukan pada solusi perangkat lunak sebagai layanan (SaaS), namun juga dapat terjadi pada IaaS. Ketika karyawan perlu menyediakan aplikasi atau sumber daya, mereka dapat menggunakan penyedia cloud tanpa memberi tahu departemen TI mereka. Untuk mengamankan data dalam layanan ini, TI perlu terlebih dahulu mengidentifikasi layanan dan pengguna melalui audit. Untuk melakukan hal ini, TI dapat menggunakan cloud access security broker (CASB).
Layanan bayangan: Akun cloud bayangan atau akun cloud nakal paling sering ditemukan pada solusi perangkat lunak sebagai layanan (SaaS), namun juga dapat terjadi pada IaaS. Ketika karyawan perlu menyediakan aplikasi atau sumber daya, mereka dapat menggunakan penyedia cloud tanpa memberi tahu departemen TI mereka. Untuk mengamankan data dalam layanan ini, TI perlu terlebih dahulu mengidentifikasi layanan dan pengguna melalui audit. Untuk melakukan hal ini, TI dapat menggunakan cloud access security broker (CASB).
![]()
Solusi untuk keamanan IaaS
Banyak organisasi menggunakan lingkungan multi-cloud, dengan layanan IaaS, PaaS, dan SaaS dari vendor yang berbeda. Lingkungan multi-cloud menjadi lebih umum tetapi juga dapat menyebabkan tantangan keamanan. Solusi keamanan perusahaan tradisional tidak dibuat untuk layanan cloud, yang berada di luar firewall organisasi. Layanan infrastruktur virtual (seperti mesin virtual, penyimpanan virtual, dan jaringan virtual) memerlukan solusi keamanan yang dirancang khusus untuk lingkungan cloud.
Empat solusi penting untuk keamanan IaaS adalah: perantara keamanan akses cloud, platform perlindungan beban kerja cloud, platform keamanan jaringan virtual, dan manajemen postur keamanan cloud.
- Cloud access security broker (CASB), alias gerbang keamanan cloud (CSG): CASB memberikan visibilitas dan kontrol atas sumber daya cloud, termasuk pemantauan aktivitas pengguna, pemantauan IaaS, deteksi malware cloud, data loss prevention, dan enkripsi. Mereka dapat berintegrasi dengan firewall dan API platform cloud, serta memantau IaaS untuk kesalahan konfigurasi dan data yang tidak terlindungi dalam penyimpanan cloud. CASB menyediakan audit dan pemantauan pengaturan dan konfigurasi keamanan, izin akses file, dan akun yang disusupi. CASB juga dapat mencakup pemantauan beban kerja dan keamanan.
- Platform perlindungan beban kerja cloud (CWPP): CWPP menemukan beban kerja dan kontainer, menerapkan perlindungan malware, dan mengelola instance beban kerja dan kontainer yang jika tidak dikelola, dapat memberikan jalan bagi penjahat siber ke lingkungan IaaS.
- Platform keamanan jaringan virtual (VNSP): Solusi VNSP memindai lalu lintas jaringan yang bergerak ke arah utara-selatan dan timur-barat di antara instans virtual dalam lingkungan IaaS. Solusi ini mencakup deteksi dan pencegahan penyusupan jaringan untuk melindungi sumber daya virtual.
- Manajemen postur keamanan cloud (CSPM): Manajer postur keamanan cloud mengaudit lingkungan cloud IaaS untuk masalah keamanan dan kepatuhan, serta menyediakan remediasi manual atau otomatis. Semakin banyak CASB yang menambahkan fungsionalitas CSPM.
![]()
Pertimbangan penyedia IaaS
Penyedia IaaS bertanggung jawab atas kontrol yang melindungi server dan data mereka. Manajer TI dapat mengevaluasi penyedia IaaS berdasarkan karakteristik berikut:
- Izin akses fisik: Penyedia IaaS bertanggung jawab untuk menerapkan kontrol akses yang aman ke fasilitas fisik, sistem TI, dan layanan cloud.
- Audit kepatuhan: Manajer TI dapat meminta bukti kepatuhan (audit dan sertifikasi) terhadap peraturan yang relevan, seperti undang-undang keamanan informasi perawatan kesehatan atau persyaratan privasi untuk data keuangan konsumen.
- Alat pemantauan dan pencatatan: Penyedia IaaS dapat menawarkan alat untuk memantau, mencatat, dan mengelola sumber daya cloud.
- Spesifikasi dan pemeliharaan perangkat keras: Perangkat keras yang menopang layanan infrastruktur cloud berdampak pada kinerja layanan tersebut. Organisasi TI dapat meminta spesifikasi perangkat keras penyedia layanan, terutama perangkat keamanan seperti firewall, deteksi intrusi, dan pemfilteran konten.
Ketika pusat data berpindah ke cloud, manajer TI perlu membuat strategi keamanan IaaS dan mengimplementasikan teknologi keamanan cloud untuk melindungi infrastruktur penting mereka. Keamanan cloud dari Skyhigh Security memungkinkan organisasi untuk mempercepat bisnis mereka dengan memberikan visibilitas dan kontrol penuh atas data mereka di cloud. Pelajari lebih lanjut tentang Skyhigh Security teknologi keamanan cloud.