Insiden “celebgate” Apple dimana foto pribadi para selebriti pengguna iCloud tersebar luas tanpa seizin pemiliknya telah menjadi headline yang tidak diinginkan tahun lalu. Penyedia teknologi Code Spaces yang berbasis di Inggris terpaksa menutup bisnisnya tahun lalu karena hackers mencoba untuk memeras perusahaan tersebut. Hal ini memaksa perusahaan tersebut untuk menghapus data penting dari Layanan Web Amazon yang berada di penyimpanan cloud-nya. Pada tahun 2013, SSL certificate di layanan cloud Azure milik Microsoft yang telah kadaluarsa memberikan kesempatan pada para hacker untuk melumpuhkan Xbox Live dan sejumlah layanan lainnya yang berada di cloud.
Risiko keamanan Cloud semakin meningkat, dengan serangan yang meningkat sebesar 45% di dari tahun ke tahun di seluruh dunia menurut Alert Logic, firma keamanan cloud. Dalam lima tahun ke depan, sebesar USD 2 milyar akan dihabiskan oleh dunia bisnis untuk meningkatkan pertahanan cloud mereka, menurut Forrester Research.
Pengguna yang pertama kali menggunakan cloud dapat menjadi kalangan dengan risiko terbesar, karena para pengguna tersebut belum terbiasa dengan lingkungan baru serta beban tambahan yang dari kebutuhan untuk memahami cara baru untuk mengelola users, data dan keamanan.
Berikut ini adalah lima langkah keamanan yang harus dilakukan sebelum bergabung dengan layanan cloud.
- Memahami lingkup cloud
Terdapat tiga segmen utama di setiap cloud deployment - yaitu cloud vendor, penyedia layanan jaringan dan dunia usaha. Menyadari bahwa cloud harus ditangani seperti perpanjangan pusat data dunia usaha, maka terdapat pertanyaan yang perlu dijawab, yaitu: apakah layanan dan kebijakan keamanan yang umum dapat diterapkan di ketiga segmen? Apa saja celah keamanannya?
Dalam pemilihan vendor, tanyakan kepada cloud vendor mengenai layanan keamanan yang disediakan dan vendor keamanan yang diajak bekerjasama. Cloud adalah lingkungan yang dinamis yang membutuhkan pemuktahiran yang teratur pada arsitektur keamanannya sehingga dapat mengikuti perkembangan ancaman terkini. Bagaimanakah cloud vendor dapat mengatasi ekploitasi keamanan baru serta memastikan kekokohan sistem keamanannya sepanjang tahun?
Cari tahu mengenai batas-batas dalam model keamanan bersama yang datang dengan layanan cloud. Pahami jangkauan tanggung jawab penyedia cloud – serta tanggung jawab Anda. Pada beberapa layanan cloud, seperti IaaS, tanggung jawab untuk mengamankan aplikasi dan data yang berada di cloud berada di tangan dunia usaha. Oleh sebab itu, penting untuk mengetahui apa saja perangkat keamanan dan apa saja yang ditawarkan/disediakan oleh vendor penyedia cloud kepada dunia usaha guna mempersiapkan cloud.
- Aplikasi baru, pertahanan baru
Siap untuk memindahkan aplikasi ke cloud? Sebelumnya, pertimbangkan untuk menambahkan pertahanan baru ke langkah-langkah keamanan yang telah Anda bangun di sekeliling proses otentifikasi dan log-in aplikasi Anda.
Untuk memperkokoh akses ke aplikasi cloud Anda, anda sebaiknya memiliki skema akses data granular. Anda dapat melakukannya dengan membatasi hak akses sesuai dengan peran, jawabatan di perusahaan dan proyek. Hal ini akan memberikan lapisan perlindungan tambahan ketika penyerang berusaha mencuri identitas login staf Anda.
Pembajakan akun mungkin terkesan biasa saja saat ini, namun pelanggaran model lama ini tetap dinilai sebagai ancaman utama bagi pengguna cloud. Untuk memperkokoh proses login Anda, pertimbangkan untuk menerapkan otentifikasi dua faktor, pemeriksaan postur dan penggunaan kata sandi yang hanya dapat digunakan satu kali saja. Salah satu tip yang berguna adalah membuat persyaratan untuk mengubar user ID pada login awal.
- Menggunakan enkripsi
Enkripsi data adalah sekutu keamanan terbesar Anda di cloud, dan hal ini harus digunakan setiap kali melakukan transfer file dan email. Meskipun hal ini tidak akan mencegah upaya perentasan atau pencurian data, hal ini dapat melindungi bisnis Anda dan menyelamatkan organisasi dari denda peraturan ketika terjadi perentasan.
Tanyakann pada vendor cloud Anda mengenai skema enkripsi data mereka. Cari tahu bagaimana skema tersebut akan mengenkripsi data yang tidak aktif, tidak sedang digunakan, dan sedang dipindahkan. Untuk memahami data apa saja yang sebaiknya dienkripsi, maka akan bermanfaat untuk mengetahui dimanakah data tersebut berada – apakah di server cloud vendor Anda, di server perusahaan pihak ketiga, laptop karyawan, PC kantor atau di USB.
- Pergulatan dengan dunia virtual
Berpindah ke cloud memampukan bisnis untuk menuai manfaat dari virtualisasi, tetapi lingkungan virtualisasi dapat menghadirkan tantangan dalam perlindungan data. Isu utama terkait dengan pengelolaan keamanan dan traffic di ranah multi-tenancy dan mesin virtual.
Perangkat kemananan fisik bisanya tidak dirancang untuk mengatasi data yang berada di cloud. Ini sebabnya mengapa perangkat keamanan virtual dibutuhkan – untuk mengamankan traffic yang mengalir dari mesin virtual ke mesin virtual. Perangkat seperti ini dibangun untuk mengatasi kompleksitas dalam menjalankan berbagai aplikasi secara simultan, atau multi-tenancy.
Oleh sebab itu, perangkat ini memungkinkan bisnis untuk mengerahkan kontrol keamanan yang baik terhadap data yang dimiliki di cloud. Tanyakan kepada penyedia cloud mengenai cara mereka mengamankan lingkungan virtual mereka dan cari tahu mengenai perangkat keamanan vitual yang digunakan. Jika Anda sedang membangun cloud pribadi atau hybrid, pertimbangkan untuk menggunakan produk keamanan virtual yang berfokus pada kontrol granular.
- Jangan menutup mata terhadap shadow IT
Terdapat banyak anekdot dan laporan di luar sana yang menunjukkan bagaimana penggunaan layanan aplikasi dan cloud tanpa otorisasi, atau shadow IT, semakin meningkat di dunia bisnis. Sifat yang tidak terkontrol ini menghadirkan ancaman keamanan dan tantangan pengelolaan.
Aplikasi cloud baru Anda akan terancam karena hal ini. Pertimbangkan skenario sederhana ini dimana karyawan Anda menggunakan smartphones mereka untuk membuka file di perangkat mereka. Kemungkinan telefon tersebut akan menyalin file tersebut, yang dapat dikirimkan ke tujuan penyimpanan online yang tidak disetujui saat telefon melakukan proses backup otomatis secara teratur. Data perusahaan Anda yang aman baru saja dipindahkan ke lokasi yang tidak aman.
Mencegah akses ke shadow IT kecil kemungkinannya dapat menghentikan pertumbuhannya di organisasi apapun. Pemberian pemahaman kepada pengguna dan penggunaan teknologi untuk mengatasi isu tersebut akan menjadi cara yang lebih efektif. Enkripsi, alat monitoring jaringan dan pengelolaan keamanan dapat membantu melindungi aplikasi cloud pertama Anda dari risiko shadow IT.