Lompat ke isi

Keamanan komputasi awan

Dari Wikipedia bahasa Indonesia, ensiklopedia bebas
Revisi sejak 14 Februari 2019 10.26 oleh AABot (bicara | kontrib) (Bot: Perubahan kosmetika)
Keamanan komputasi awan.

Keamanan komputasi awan atau (sederhananya Keamanan cloud) mengacu pada serangkaian kebijakan, teknologi, dan kontrol yang diterapkan untuk melindungi data, aplikasi, dan infrastruktur komputasi awan yang terkait. Ini adalah sub-domain keamanan komputer, keamanan jaringan, dan, lebih luas lagi, keamanan informasi.

Masalah keamanan yang terkait dengan komputasi awan

Komputasi dan penyimpanan awan memberikan pengguna kemampuan untuk menyimpan dan memproses data mereka di pusat data milik pihak ketiga.[1] Organisasi menggunakan awan dalam berbagai model layanan yang berbeda (dengan akronim seperti SaaS, PaaS, dan IaaS) dan model penyebaran (pribadi, publik, hibrida, dan komunitas).[2] Masalah keamanan yang terkait dengan komputasi awan termasuk dalam dua kategori besar: masalah keamanan yang dihadapi oleh penyedia cloud (organisasi yang menyediakan perangkat lunak-, platform-, atau infrastruktur-sebagai-layanan-melalui cloud) dan masalah keamanan yang dihadapi oleh pelanggan mereka (perusahaan atau organisasi yang meng-host aplikasi atau menyimpan data di cloud).[3] Tanggung jawab dibagi, namun. Penyedia harus memastikan bahwa infrastruktur mereka aman dan bahwa data dan aplikasi klien mereka dilindungi, sementara pengguna harus mengambil tindakan untuk memperkuat aplikasi mereka dan menggunakan kata sandi dan ukuran otentikasi yang kuat.

Ketika organisasi memilih untuk menyimpan data atau aplikasi host pada awan publik, ia kehilangan kemampuannya untuk memiliki akses fisik ke server yang menyimpan informasinya. Akibatnya, data sensitif dapat diserang oleh orang dalam. Menurut laporan Cloud Security Alliance baru-baru ini, serangan orang dalam adalah ancaman terbesar keenam dalam komputasi awan.[4] Oleh karena itu, penyedia layanan cloud harus memastikan bahwa pemeriksaan latar belakang menyeluruh dilakukan untuk karyawan yang memiliki akses fisik ke server di pusat data. Selain itu, pusat data harus sering dipantau untuk aktivitas yang mencurigakan.

Untuk menghemat sumber daya, memotong biaya, dan menjaga efisiensi, penyedia layanan cloud sering menyimpan lebih dari satu data pelanggan di server yang sama. Akibatnya, ada kemungkinan bahwa satu data pribadi pengguna dapat dilihat oleh pengguna lain (bahkan mungkin pesaing). Untuk menangani situasi sensitif seperti itu, penyedia layanan cloud harus memastikan isolasi data yang tepat dan segregasi penyimpanan logis.[2]

Penggunaan virtualisasi yang ekstensif dalam mengimplementasikan infrastruktur cloud membawa masalah keamanan yang unik bagi pelanggan atau penyewa layanan cloud publik.[5] Virtualisasi mengubah hubungan antara OS dan perangkat keras yang mendasari - baik itu komputer, penyimpanan atau bahkan jaringan. Ini memperkenalkan lapisan tambahan - virtualisasi - itu sendiri harus dikonfigurasi, dikelola, dan dijamin dengan benar.[6] Kekhawatiran khusus termasuk potensi untuk mengkompromikan perangkat lunak virtualisasi, atau "hypervisor". Meskipun kekhawatiran ini sebagian besar bersifat teoritis, mereka memang ada.[7] Sebagai contoh, pelanggaran di workstation administrator dengan perangkat lunak manajemen dari perangkat lunak virtualisasi dapat menyebabkan seluruh pusat data turun atau dikonfigurasikan sesuai keinginan penyerang.

Kontrol Keamanan Awan

Arsitektur keamanan awan hanya efektif jika implementasi defensif yang benar sudah ada. Arsitektur keamanan awan yang efisien harus mengenali masalah yang akan muncul dengan manajemen keamanan. [[8] Manajemen keamanan menangani masalah ini dengan kontrol keamanan. Kontrol ini dipasang untuk menjaga setiap kelemahan dalam sistem dan mengurangi efek serangan. Meskipun ada banyak jenis kontrol di belakang arsitektur keamanan cloud, mereka biasanya dapat ditemukan di salah satu kategori berikut:[8]

Kontrol Jera
Kontrol ini dimaksudkan untuk mengurangi serangan pada sistem cloud. Sama seperti tanda peringatan di pagar atau properti, kontrol jera biasanya mengurangi tingkat ancaman dengan menginformasikan penyerang potensial bahwa akan ada konsekuensi buruk bagi mereka jika mereka melanjutkan. (Beberapa menganggap mereka bagian dari kontrol pencegahan.)
Kontrol Pencegahan
Kontrol preventif memperkuat sistem terhadap insiden, umumnya dengan mengurangi jika tidak benar-benar menghilangkan kerentanan. Otentikasi yang kuat dari pengguna cloud, misalnya, membuat kecil kemungkinan pengguna yang tidak sah dapat mengakses sistem cloud, dan lebih mungkin pengguna cloud diidentifikasi secara positif.
Kontrol Detektif
Kontrol detektif dimaksudkan untuk mendeteksi dan bereaksi secara tepat terhadap setiap insiden yang terjadi. Jika terjadi serangan, kontrol detektif akan menandakan kontrol preventif atau korektif untuk mengatasi masalah tersebut. [8] Pemantauan keamanan sistem dan jaringan, termasuk pengaturan deteksi intrusi dan pencegahan, biasanya digunakan untuk mendeteksi serangan pada sistem cloud dan infrastruktur komunikasi pendukung.
Kontrol Korektif
Kontrol korektif mengurangi konsekuensi dari suatu insiden, biasanya dengan membatasi kerusakan. Mereka mulai berlaku selama atau setelah insiden. Memulihkan cadangan sistem untuk membangun kembali sistem yang disusupi adalah contoh dari kontrol korektif.

Dimensi Keamanan Awan

Umumnya direkomendasikan bahwa kontrol keamanan informasi dipilih dan diterapkan sesuai dan sebanding dengan risikonya, biasanya dengan menilai ancaman, kerentanan dan dampaknya. Kekhawatiran keamanan cloud dapat dikelompokkan dalam berbagai cara; Gartner menamai tujuh [9] sementara Cloud Security Alliance mengidentifikasi dua belas area yang menjadi perhatian.[10] Broker keamanan akses cloud (CASBs) adalah perangkat lunak yang berada di antara pengguna cloud dan aplikasi cloud untuk memberikan visibilitas ke penggunaan aplikasi cloud, perlindungan data dan tata kelola untuk memantau semua aktivitas dan menegakkan kebijakan keamanan.[11]

Keamanan dan Privasi

Manajemen Identitas
Setiap perusahaan akan memiliki sistem manajemen identitasnya sendiri untuk mengontrol akses ke informasi dan sumber daya komputasi. Penyedia Cloud mengintegrasikan sistem manajemen identitas pelanggan ke dalam infrastruktur mereka sendiri, menggunakan teknologi federasi atau SSO, atau sistem identifikasi berbasis biometrik,[1] atau menyediakan sistem manajemen identitas mereka sendiri.[12] CloudID,[1] misalnya, menyediakan identifikasi biometrik berbasis cloud dan lintas perusahaan yang melestarikan privasi. Ini menghubungkan informasi rahasia dari pengguna ke biometrik mereka dan menyimpannya secara terenkripsi. Memanfaatkan teknik enkripsi yang dapat dicari, identifikasi biometrik dilakukan dalam domain terenkripsi untuk memastikan bahwa penyedia cloud atau penyerang potensial tidak mendapatkan akses ke data sensitif atau bahkan isi dari pertanyaan individu.[1]
Keamanan fisik
Penyedia layanan cloud secara fisik mengamankan perangkat keras TI (server, router, kabel, dll.) Terhadap akses tidak sah, gangguan, pencurian, kebakaran, banjir, dll. Dan memastikan bahwa pasokan penting (seperti listrik) cukup kuat untuk meminimalkan kemungkinan gangguan. Ini biasanya dicapai dengan melayani aplikasi cloud dari 'kelas dunia' (yaitu pusat data yang ditentukan secara profesional, dirancang, dibangun, dikelola, dipantau dan dipelihara).
Keamanan personil
Berbagai masalah keamanan informasi yang berkaitan dengan TI dan profesional lain yang terkait dengan layanan cloud biasanya ditangani melalui kegiatan pra-, para dan pasca-kerja seperti perekrutan potensi perekrutan keamanan, kesadaran keamanan dan program pelatihan, proaktif.
Pribadi
Penyedia memastikan bahwa semua data penting (nomor kartu kredit, misalnya) ditutupi atau dienkripsi dan hanya pengguna yang berwenang yang memiliki akses ke data secara keseluruhan. Selain itu, identitas dan kredensial digital harus dilindungi sebagaimana seharusnya data apa pun yang dikumpulkan atau dihasilkan oleh penyedia tentang aktivitas pelanggan di cloud.

Vulnerability and Penetration Testing Awan

Pemindaian bisa dari luar dan dalam menggunakan produk gratis atau komersial sangat penting karena tanpa lingkungan yang keras layanan Anda dianggap sebagai sasaran empuk. Server virtual harus dikeraskan seperti server fisik terhadap kebocoran data, malware, dan kerentanan yang dieksploitasi. "Kehilangan data atau kebocoran mewakili 24,6% dan malware terkait cloud 3,4% dari ancaman yang menyebabkan pemadaman cloud" [13]

Pengujian pemindaian dan penetrasi dari dalam atau di luar awan perlu disahkan oleh penyedia cloud. Karena cloud adalah lingkungan bersama dengan penyewa lain yang mengikuti aturan pengujian penetrasi dari keterlibatan selangkah demi selangkah adalah persyaratan wajib. Pelanggaran terhadap kebijakan penggunaan yang dapat diterima yang dapat menyebabkan penghentian layanan.

Keamanan data

Sejumlah ancaman keamanan dikaitkan dengan layanan data cloud: tidak hanya ancaman keamanan tradisional, seperti penyadapan jaringan, invasi ilegal, dan penolakan serangan layanan, tetapi juga ancaman komputasi awan tertentu, seperti serangan saluran samping, kerentanan virtualisasi, dan penyalahgunaan layanan cloud. Persyaratan keamanan berikut membatasi ancaman.[14]

Kerahasiaan

Kerahasiaan data adalah properti yang konten data tidak tersedia atau diungkapkan kepada pengguna ilegal. Data yang dialihdayakan disimpan di awan dan di luar kendali langsung pemilik. Hanya pengguna yang berwenang yang dapat mengakses data sensitif sementara yang lain, termasuk CSP, tidak boleh mendapatkan informasi apa pun dari data tersebut. Sementara itu, pemilik data berharap untuk sepenuhnya menggunakan layanan data cloud, misalnya, penelusuran data, penghitungan data, dan pembagian data, tanpa kebocoran konten data ke CSP atau lawan lainnya.

Pengendalian akses

Access controllability berarti bahwa pemilik data dapat melakukan pembatasan selektif akses ke dirinya atau datanya dialihdayakan ke cloud. Pengguna legal dapat diotorisasi oleh pemiliknya untuk mengakses data, sementara yang lain tidak dapat mengaksesnya tanpa izin. Lebih lanjut, diinginkan untuk memberlakukan kontrol akses halus ke data yang dialihdayakan, yaitu, pengguna yang berbeda harus diberikan hak akses yang berbeda terkait dengan potongan data yang berbeda. Otorisasi akses harus dikontrol hanya oleh pemilik dalam lingkungan cloud yang tidak dipercaya.

Integritas

Integritas data menuntut pemeliharaan dan menjamin keakuratan dan kelengkapan data. Seorang pemilik data selalu mengharapkan bahwa datanya di cloud dapat disimpan dengan benar dan dapat dipercaya. Ini berarti bahwa data tidak boleh dirusak secara ilegal, dimodifikasi secara tidak tepat, sengaja dihapus, atau dibuat secara jahat. Jika ada operasi yang tidak diinginkan merusak atau menghapus data, pemilik harus dapat mendeteksi korupsi atau kehilangan. Lebih lanjut, ketika sebagian dari data yang di-outsource rusak atau hilang, itu masih dapat diambil oleh pengguna data.

Enkripsi

Beberapa algoritma enkripsi canggih yang telah diterapkan ke dalam komputasi awan meningkatkan perlindungan privasi. Dalam praktik yang disebut crypto-shredding, kunci dapat dengan mudah dihapus ketika tidak ada lagi penggunaan data.

Enkripsi berbasis atribut (ABE)

Penyandian berbasis atribut adalah jenis enkripsi kunci publik di mana kunci rahasia dari pengguna dan ciphertext bergantung pada atribut (misalnya negara tempat ia tinggal, atau jenis langganan yang dimilikinya). Dalam sistem seperti itu, dekripsi ciphertext hanya mungkin jika himpunan atribut kunci pengguna sesuai dengan atribut ciphertext.

Kebijakan-Ciphertext ABE (CP-ABE)

Di CP-ABE, enkripsi mengontrol strategi akses. Pekerjaan penelitian utama CP-ABE difokuskan pada desain struktur akses.[15]

Kebijakan kunci ABE (KP-ABE)

Di KP-ABE, set atribut digunakan untuk mendeskripsikan teks terenkripsi dan kunci privat terkait dengan kebijakan tertentu yang akan dimiliki pengguna. [16] [17] [18]

Enkripsi sepenuhnya homomorfik (FHE)

Enkripsi sepenuhnya homomorfik memungkinkan perhitungan pada data terenkripsi, dan juga memungkinkan jumlah dan produk komputasi untuk data terenkripsi tanpa dekripsi.[19]

Enkripsi yang dapat dicari (SE)

Enkripsi yang dapat dicari adalah sistem kriptografi yang menawarkan fungsi pencarian aman di atas data terenkripsi. [20] [21] Skema SE dapat diklasifikasikan menjadi dua kategori: SE berdasarkan kriptografi kunci rahasia (atau kunci simetrik), dan SE berdasarkan kriptografi kunci publik. Untuk meningkatkan efisiensi pencarian, kunci simetrik SE umumnya membangun indeks kata kunci untuk menjawab pertanyaan pengguna.

Pemenuhan

Banyak undang-undang dan peraturan yang berkaitan dengan penyimpanan dan penggunaan data. Di AS ini termasuk undang-undang privasi atau perlindungan data, Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), Asuransi Kesehatan Portabilitas dan Akuntabilitas Act (HIPAA), Sarbanes-Oxley Act, Undang-Undang Pengelolaan Keamanan Informasi Federal 2002 (FISMA) , dan Undang-Undang Perlindungan Privasi Online Anak-anak tahun 1998, antara lain.

Undang-undang serupa dapat berlaku di yurisdiksi hukum yang berbeda dan mungkin sangat berbeda dengan yang diberlakukan di AS. Pengguna layanan Cloud sering kali perlu menyadari perbedaan hukum dan peraturan antara yurisdiksi. Sebagai contoh, data yang disimpan oleh penyedia layanan cloud dapat ditempatkan di, katakanlah, Singapura dan dicerminkan di AS..[22]

Banyak dari peraturan ini yang mengharuskan kontrol tertentu (seperti kontrol akses yang kuat dan jejak audit) dan memerlukan pelaporan berkala. Pelanggan Cloud harus memastikan bahwa penyedia cloud mereka memenuhi persyaratan tersebut dengan tepat, memungkinkan mereka untuk memenuhi kewajiban mereka karena, untuk sebagian besar, mereka tetap bertanggung jawab.

Kelanjutan bisnis dan pemulihan data
Penyedia Cloud memiliki kesinambungan bisnis dan rencana pemulihan data untuk memastikan bahwa layanan dapat dipertahankan jika terjadi bencana atau keadaan darurat dan kehilangan data apa pun akan dipulihkan.[23] Rencana ini dapat dibagikan dengan dan ditinjau oleh pelanggan mereka, idealnya selaras dengan pengaturan keberlanjutan pelanggan sendiri. Latihan kesinambungan bersama mungkin tepat, mensimulasikan kegagalan pasokan internet atau listrik utama misalnya.
Jejak log dan audit
Selain memproduksi log dan jejak audit, penyedia cloud bekerja dengan pelanggan mereka untuk memastikan bahwa log dan jejak audit ini diamankan dengan benar, dipertahankan selama pelanggan membutuhkan, dan dapat diakses untuk keperluan penyelidikan forensik (misalnya, eDiscovery) .
Persyaratan kepatuhan yang unik
Selain persyaratan yang menjadi subjek pelanggan, pusat data yang digunakan oleh penyedia cloud juga dapat tunduk pada persyaratan kepatuhan. Menggunakan penyedia layanan cloud (CSP) dapat menyebabkan masalah keamanan tambahan di sekitar yurisdiksi data karena data pelanggan atau penyewa tidak boleh tetap berada di sistem yang sama, atau di pusat data yang sama atau bahkan di dalam awan penyedia yang sama.[24]
Peraturan GDPR Uni Eropa telah memperkenalkan persyaratan kepatuhan baru untuk data pelanggan.[25]

Masalah hukum dan kontrak

Selain masalah keamanan dan kepatuhan yang disebutkan di atas, penyedia cloud dan pelanggan mereka akan menegosiasikan ketentuan seputar kewajiban (menetapkan bagaimana insiden yang melibatkan kehilangan data atau kompromi akan diselesaikan, misalnya), kekayaan intelektual, dan akhir layanan (ketika data dan aplikasi akhirnya dikembalikan ke pelanggan). Selain itu, ada pertimbangan untuk memperoleh data dari cloud yang mungkin terlibat dalam litigasi.[26] Masalah-masalah ini dibahas dalam perjanjian tingkat layanan (SLA).

Catatan publik

Masalah hukum juga dapat mencakup persyaratan penyimpanan catatan di sektor publik, di mana banyak lembaga diwajibkan oleh hukum untuk menyimpan dan membuat catatan elektronik yang tersedia dengan cara tertentu. Ini dapat ditentukan oleh undang-undang, atau undang-undang mungkin mengharuskan agen untuk mematuhi aturan dan praktik yang ditetapkan oleh lembaga pencatatan. Lembaga publik yang menggunakan komputasi awan dan penyimpanan harus mempertimbangkan masalah ini.

Bacaan lanjutan

  • Mowbray, Miranda (2009). "The Fog over the Grimpen Mire: Cloud Computing and the Law". SCRIPTed. 6 (1): 129. 
  • Mather, Tim; Kumaraswamy, Subra; Latif, Shahed (2009). Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance. O'Reilly Media, Inc. ISBN 9780596802769. 
  • Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Elsevier. ISBN 9781597495929. 
  • Ottenheimer, Davi (2012). Securing the Virtual Environment: How to Defend the Enterprise Against Attack. Wiley. ISBN 9781118155486. 
  • Haghighat, Mohammad (2015). "CloudID: Trustworthy Cloud-based and Cross-Enterprise Biometric Identification". Expert Systems with Applications. 42 (21): 7905–7916. doi:10.1016/j.eswa.2015.06.025. 
  • BS ISO/IEC 27017: "Information technology. Security techniques. Code of practice for information security controls based on ISO/IEC 27002 for cloud services." (2015)
  • BS ISO/IEC 27018: "Information technology. Security techniques. Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors." (2014)
  • BS ISO/IEC 27036-4: "Information technology. Security techniques. Information security for supplier relationships. Guidelines for security of cloud services" (2016)

Referensi

  1. ^ a b c d Haghighat, M.; Zonouz, S.; Abdel-Mottaleb, M. (2015). "CloudID: Trustworthy Cloud-based and Cross-Enterprise Biometric Identification". Expert Systems with Applications. 42 (21): 7905–7916. doi:10.1016/j.eswa.2015.06.025. 
  2. ^ a b Srinivasan, Madhan (2012). "'State-of-the-art cloud computing security taxonomies: a classification of security challenges in the present cloud computing environment". ACM ICACCI'. 
  3. ^ "Swamp Computing a.k.a. Cloud Computing". Web Security Journal. 2009-12-28. 
  4. ^ "Top Threats to Cloud Computing v1.0" (PDF). Cloud Security Alliance. 
  5. ^ Winkler, Vic. "Cloud Computing: Virtual Cloud Security Concerns". Technet Magazine, Microsoft. 
  6. ^ Hickey, Kathleen. "Dark Cloud: Study finds security risks in virtualization". Government Security News. Diakses tanggal 12 February 2012. 
  7. ^ Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham, MA USA: Elsevier. hlm. 59. ISBN 978-1-59749-592-9. 
  8. ^ a b Krutz, Ronald L., and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wiley, 2010. 179-80. Print.
  9. ^ "Gartner: Seven cloud-computing security risks". InfoWorld. 2008-07-02. 
  10. ^ "Top Threats to Cloud Computing Plus: Industry Insights". Cloud Security Alliance. 2017-10-20. 
  11. ^ "What is a CASB (Cloud Access Security Broker)?". CipherCloud. 
  12. ^ "Identity Management in the Cloud". Information Week. 2013-10-25. 
  13. ^ Thangasamy, Veeraiyah (2017). "Journal of Applied Technology". 
  14. ^ Jun Tang, Yong Cui (2016). "Ensuring Security and Privacy Preservation for Cloud Data Services" (PDF). ACM Computing Surveys. doi:10.1145/2906153. 
  15. ^ Bethencourt, John; Sahai, Amit; Waters, Brent. "Ciphertext-Policy Attribute-Based Encryption" (PDF). IEEE Symposium on Security and Privacy 2007. hlm. 321–334. 
  16. ^ Goyal, Vipul; Pandey, Omkant; Sahai, Amit; Waters, Brent. "Attribute-Based Encryption for Fine-Grained Access Control of Encrypted Data". ACM Conference on Computer and Communications Security 2006. hlm. 89–98. 
  17. ^ Chase, Melissa; Chow, Sherman S. M. "Improving Privacy and Security in Multi-Authority Attribute-Based Encryption". ACM Conference on Computer and Communications Security 2009. hlm. 121–130. 
  18. ^ Attrapadung, Nuttapong; Herranz, Javier; Laguillaumie, Fabien; Libert, Benoît; de Panafieu, Elie; Ràfols, Carla (2012-03-09). "Attribute-based encryption schemes with constant-size ciphertexts". Theoretical Computer Science. 422: 15–38. doi:10.1016/j.tcs.2011.12.004. 
  19. ^ Gentry, Craig. "Fully Homomorphic Encryption using Ideal Lattices". ACM Symposium on Theory of Computing, STOC 2009. hlm. 169–178. 
  20. ^ Wang, Qian; He, Meiqi; Du, Minxin; Chow, Sherman S. M.; Lai, Russell W. F.; Zou, Qin Zou (2018). "Searchable Encryption over Feature-Rich Data". IEEE Transactions on Dependable and Secure Computing. 15 (3): 496–510. 
  21. ^ Naveed, Muhammad. "Dynamic Searchable Encryption via Blind Storage". IEEE Symposium on Security and Privacy 2014. 
  22. ^ "Managing legal risks arising from cloud computing". DLA Piper. 
  23. ^ "It's Time to Explore the Benefits of Cloud-Based Disaster Recovery". Dell.com. 
  24. ^ Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham, MA USA: Elsevier. hlm. 65, 68, 72, 81, 218–219, 231, 240. ISBN 978-1-59749-592-9. 
  25. ^ "General Data Protection Regulation (GDPR): How does the new European data-protection standard impact a company's cloud strategy? Safe Swiss Cloud". www.safeswisscloud.ch (dalam bahasa Inggris). 
  26. ^ Adams, Richard (2013). "'The emergence of cloud storage and the need for a new digital forensic process model" (PDF). Murdoch University. 

Pranala luar