Pakai Cloud Otomatis Aman, Benarkah?

Meski layanan cloud makin populer karena kepraktisannya, banyak orang tidak menyadari bahwa keamanannya bukanlah tanggung jawab sepenuhnya dari penyedia layanan. Pengguna juga memiliki peran penting dalam menjaga data mereka tetap aman. Lantas, apa saja risiko yang mengintai dan bagaimana cara menanganinya?

Tidak Semua Penyedia Layanan Cloud itu Menjamin Keamanan 100%

Tidak semua penyedia layanan cloud menjamin keamanan 100% karena keamanan cloud adalah tanggung jawab bersama antara penyedia layanan cloud (cloud service provider/CSP) dan pelanggan. Meskipun penyedia layanan cloud menyediakan berbagai lapisan keamanan, namun pelanggan juga perlu menerapkan praktik keamanan yang baik untuk melindungi data dan aplikasi yang dikelolanya. Pembagian tanggung jawab ini berbeda-beda tergantung pada model layanan cloud yang digunakan: IaaS, PaaS, dan SaaS. 

Berikut ini adalah skema tanggung jawab bersama (shared responsibility model) pada layanan cloud:

IaaS (Infrastructure as a Service)

IaaS adalah singkatan dari Infrastructure as a Service adalah layanan komputasi awan (cloud computing) yang menyediakan sumber daya komputasi virtual seperti server, penyimpanan, dan jaringan melalui internet. Dengan IaaS, pengguna tidak perlu lagi membeli dan mengelola perangkat keras fisik, tetapi hanya membayar sesuai dengan sumber daya yang digunakan.  

Pada IaaS, penyedia layanan cloud bertanggung jawab terhadap:

• Infrastruktur fisik (server, jaringan, storage).
• Virtualisasi dan keamanan fisik data center.

Pada IaaS, pengguna bertanggung jawab terhadap:

• Sistem operasi dan patch-nya.
• Aplikasi dan middleware yang dijalankan.
• Data dan kontrol akses pengguna.
• Konfigurasi keamanan dan firewall pada tingkat virtual machine.

PaaS (Platform as a Service)

PaaS adalah singkatan dari Platform as a Service adalah layanan komputasi awan (cloud computing) yang menyediakan platform lengkap untuk pengembangan, menjalankan, dan mengelola aplikasi. Dengan PaaS, pengembang dapat fokus pada pembuatan kode aplikasi, sementara penyedia layanan cloud mengelola infrastruktur dasar seperti server, sistem operasi, basis data, dan jaringan.    

Pada PaaS, penyedia cloud bertanggung jawab terhadap:

• Infrastruktur fisik.
• Sistem operasi, middleware, runtime.
• Keamanan platform dan jaringan.

Pada PaaS, pengguna bertanggung jawab terhadap:

• Aplikasi yang dikembangkan dan dijalankan di platform.
• Data aplikasi dan pengguna.
• Pengaturan akses aplikasi dan pengguna.

SaaS (Software as a Service)

SaaS adalah singkatan dari Software as a Service adalah layanan komputasi awan (cloud computing) di mana penyedia layanan cloud meng-hosting perangkat lunak dan membuatnya tersedia untuk pelanggan melalui internet. Pengguna tidak perlu menginstal atau memelihara perangkat lunak secara lokal, melainkan hanya perlu mengaksesnya melalui browser web atau aplikasi khusus.  

Pada SaaS, penyedia cloud bertanggung jawab terhadap:

• Infrastruktur, platform, dan aplikasi.
• Keamanan dan pemeliharaan aplikasi.
• Backup dan pemulihan data.

Pada SaaS, pengguna bertanggung jawab terhadap:

• Manajemen akun pengguna dan akses.
• Data yang dimasukkan ke dalam aplikasi dan kepatuhan penggunaannya.

Apa Saja Risiko pada Layanan Cloud?

1. Risiko Keamanan Data
   Data yang disimpan di cloud bisa rentan terhadap pencurian, akses tidak sah, atau kebocoran data akibat serangan siber seperti hacking, malware, atau insider threat.

2. Risiko Privasi
   Data pribadi pengguna harus dijaga privasinya sesuai regulasi (misal UU PDP). Ada risiko data disalahgunakan atau diakses secara tidak sah oleh pihak ketiga, termasuk penyedia cloud atau bahkan hacker.

3. Risiko Kepatuhan (Compliance Risk)
   Penggunaan layanan cloud harus mematuhi regulasi dan standar industri yang berlaku. Risiko terjadi jika penyedia atau pengguna gagal memenuhi aturan tersebut, misalnya terkait lokasi data, audit, dan pelaporan.

4. Risiko Ketersediaan (Availability Risk)
   Gangguan layanan cloud seperti downtime atau kegagalan layanan dapat menyebabkan aplikasi dan data tidak bisa diakses, yang berdampak pada bisnis dan operasional.

5. Risiko Pengelolaan dan Konfigurasi (Misconfiguration)
   Kesalahan konfigurasi layanan cloud oleh pengguna atau penyedia dapat membuka celah keamanan seperti data terekspos ke publik, akses tanpa otorisasi, dan risiko serangan.

6. Risiko Vendor Lock-in
   Kesulitan atau biaya tinggi saat ingin berpindah layanan cloud bisa membuat pengguna “terkunci” pada satu penyedia, yang berisiko terhadap fleksibilitas dan biaya jangka panjang.

7. Risiko Insider Threat
   Ancaman dari orang dalam organisasi atau penyedia layanan cloud yang memiliki akses ke data dan sistem, bisa melakukan penyalahgunaan data atau sabotase.

8. Risiko Keamanan Akses
   Pengelolaan identitas dan akses yang kurang ketat bisa mengakibatkan pengguna tidak berwenang bisa mengakses data dan aplikasi.

Dapat disimpilkan bahwa risiko pada layanan cloud mencakup aspek teknis, organisasi, dan regulasi. Pengguna dan penyedia harus bekerja sama dalam model tanggung jawab bersama untuk memitigasi risiko tersebut melalui pengamanan, audit, pelatihan, dan kebijakan yang tepat.

Kontrol 5.23 Keamanan Informasi untuk Penggunaan Layanan Cloud

Kontrol 5.23 Keamanan informasi untuk penggunaan layanan cloud pada ISO 27001:2022 menyatakan bahwa proses untuk akuisisi, penggunaan, manajemen, dan keluar dari layanan cloud sebaiknya ditetapkan sesuai dengan persyaratan keamanan informasi organisasi.

1. Proses Akuisisi Layanan Cloud

• Evaluasi Risiko dan Vendor: lakukan penilaian risiko terhadap penyedia layanan cloud, termasuk aspek keamanan, privasi, kepatuhan, dan reputasi penyedia.
• Audit dan SLA Keamanan: pastikan adanya Service Level Agreement (SLA) yang mengatur aspek keamanan, ketersediaan, dan privasi data, serta audit reguler dari penyedia cloud.
• Persyaratan Kontrak: kontrak harus mencakup ketentuan pengamanan data, kepemilikan data, hak audit, dan protokol keluar dari layanan cloud (exit strategy).

2. Penggunaan Layanan Cloud

• Manajemen Akses: terapkan prinsip least privilege, multi-factor authentication (MFA), dan kontrol akses berbasis peran atau Role Based Access Control (RBAC) untuk pengguna cloud.
• Enkripsi Data: gunakan enkripsi data saat transit dan saat disimpan (at-rest), serta kelola kunci enkripsi dengan aman.
• Pemantauan dan Logging: aktifkan logging dan monitoring aktivitas pada layanan cloud untuk mendeteksi anomali dan pelanggaran keamanan.
• Konfigurasi dan Hardening: terapkan konfigurasi keamanan terbaik dan hardening pada layanan cloud dan aplikasi yang digunakan.

3. Manajemen Layanan Cloud

• Pengendalian Perubahan: gunakan proses change management untuk update konfigurasi dan deployment aplikasi pada cloud untuk mencegah risiko gangguan atau celah keamanan.
• Backup dan Pemulihan: pastikan prosedur backup data rutin, dan lakukan uji pemulihan data secara berkala.
• Pelatihan dan Kesadaran: berikan pelatihan kepada pengguna dan administrator terkait praktik keamanan dan kebijakan penggunaan layanan cloud.

4. Proses Keluar dari Layanan Cloud

• Penghapusan Data: lakukan penghapusan dan/atau pemindahan data dengan aman dari layanan cloud sesuai kebijakan organisasi.
• Audit Akhir: lakukan audit keamanan saat keluar, pastikan data sudah benar-benar dihapus dan tidak ada akses tersisa dari penyedia.
• Revoke Akses: cabut semua akses yang dimiliki oleh pengguna dan sistem terkait layanan cloud.
• Dokumentasi: dokumentasikan proses keluar (offboarding) untuk kepatuhan dan pelacakan keamanan.

Dengan mengimplementasikan kontrol 5.23 Keamanan informasi untuk penggunaan layanan cloud pada ISO 27001:2022 dapat membantu untuk pengelolaan risiko keamanan informasi dengan pembagian tanggung jawab yang jelas antara organisasi sebagai pengguna dan penyedia layanan cloud.