Teknologi | Cloud computing

Continuous Service Certification: Solusi Keamanan Cloud

Mukti Tama P. / Amelinda Pandu 6 Jan 2023. 6 min.

Apabila transformasi digital sudah mendisrupsi kehidupan manusia, maka keberadaan komputasi cloud telah mendisrupsi transformasi digital itu sendiri. Sejak komputasi cloud menjadi populer pada tahun 2007, industri teknologi informasi yang semula berfokus kepada produk kini perlahan-lahan beralih fokus kepada penyediaan jasa.[1] Salah satu contoh yaitu perubahan cara masyarakat saat ini dalam menyimpan dokumen elektronik.

Dulu, seorang pengguna harus membeli gawai dengan kapasitas penyimpanan besar untuk menyimpan ribuan dokumen elektronik. Saat ini, dengan adanya cloud, pengguna cukup membuat sebuah akun Google dan langsung dapat mengakses dan menggunakan Google Drive untuk menyimpan dokumen elektronik.

Serangan Siber terhadap Komputasi Cloud

Sayangnya, permasalahan keamanan masih menghantui penerapan cloud sampai saat ini. Salah satu kasus yang paling menggemparkan publik adalah tersebarnya  foto pribadi milik Jennifer Lawrence, selebriti Hollywood, yang tersimpan di iCloud tanpa seizinnya. Insiden ini menimbulkan keraguan pada masyarakat untuk menggunakan teknologi cloud. [2]

Keraguan masyarakat tersebut valid dikarenakan komputasi cloud, seperti halnya teknologi TI lainnya, memiliki beberapa celah keamanan. Celah keamanan ini merupakan akibat dari ketergantungan komputasi cloud terhadap koneksi internet. Hal ini membuka peluang terjadinya serangan siber man-in-the-middle. Serangan man-in-the-middle terjadi ketika peretas mencuri maupun memanipulasi data pengguna yang sedang dalam proses pengunggahan ke cloud.[3]

Selain itu, jutaan data di dalam cloud semakin meningkatkan potensi terjadinya serangan siber yang langsung menyasar server penyedia cloud. [4] Serangan ini kerap difasilitasi oleh kerentanan sistem cloud dalam bentuk bugs. Dengan menjadikan bugs sebagai pintu masuk, peretas akan mencuri data yang tersimpan di server dan bahkan mengambil alih seluruh sistem cloud.[5]

Continuous Service Certification sebagai Penjamin Keamanan Cloud  

Bagi pengguna cloud, sertifikat keamanan merupakan cara paling mudah sekaligus paling populer untuk mengetahui aman atau tidaknya cloud yang akan digunakan.[6] Sertifikat ini merupakan hasil dari proses sertifikasi yang dilakukan oleh otoritas sertifikasi independen. Melalui proses sertifikasi, otoritas sertifikasi mampu menilai apakah penyedia cloud sudah mematuhi seluruh standar keamanan cloud. Oleh karena itu, pengguna cloud dapat memilih solusi cloud yang paling aman.

Bagaimanapun, dalam sistem sertifikasi cloud konvensional, sertifikasi hanya dilakukan sekali dalam jangka waktu satu tahun. Dampaknya, sertifikasi konvensional ini memiliki kekurangan berupa bugs maupun kerusakan keamanan lainnya baru akan diketahui jauh setelah kerusakan tersebut muncul untuk pertama kalinya. Kerusakan ini kerap kali merupakan dampak dari dinamika perubahan struktur, persebaran, dan konfigurasi infrastruktur penunjang cloud; termasuk dinamika migrasi data dan perangkat lunak yang terjadi antar komputer fisik dalam satu federasi cloud.

Sementara selama periode dari celah tersebut pertama kali muncul hingga sertifikasi dimulai, sangat dimungkinkan sudah banyak data pengguna yang dilanggar.[7] Tidak hanya itu, sertifikasi konvensional juga tidak bisa mencegah perilaku perusahaan yang mengurangi kepatuhannya terhadap standar keamanan cloud begitu mereka sudah mendapatkan sertifikat.[8] 

Di titik ini, Continuous Service Certification (CSC) hadir sebagai solusi yang inovatif. CSC merupakan kegiatan sertifikasi keamanan cloud yang dilakukan secara berkala selama cloud masih beroperasi. Berbeda dengan sertifikasi konvensional yang dilaksanakan tahunan, CSC memungkinkan otoritas sertifikasi untuk secara aktif mendeteksi dan menginvestigasi langsung setiap kerusakan keamanan yang muncul.

Data-data yang menunjang proses investigasi ini dikumpulkan secara otomatis oleh mesin untuk kemudian dianalisis oleh otoritas sertifikasi. Tidak hanya kerusakan, mengingat fakta bahwa industri penyediaan cloud merupakan lingkungan yang luar biasa dinamis, CSC juga memungkinkan otoritas sertifikasi untuk segera merespons setiap perubahan atau peristiwa yang terjadi dalam penyediaan cloud. Oleh karena itu, otoritas sertifikasi mampu menyesuaikan laporan keamanan cloud-nya berdasarkan evaluasi yang sedang berlangsung mengenai kerusakan, perubahan, dan kemunculan peristiwa baru dalam cloud.[9]

Melalui pendeteksian awal dan pemeriksaan secara berkala terkait penilaian kepatuhan perusahaan penyedia cloud terhadap standar keamanan, CSC dapat meningkatkan tingkat kepercayaan masyarakat terhadap sertifikat yang diterbitkan oleh otoritas sertifikasi. Tidak seperti sertifikasi konvensional, CSC menjadikan kondisi terkini cloud sebagai objek penilaian kepatuhan.

Selain itu, CSC juga mampu menginformasikan pengguna cloud mengenai perbaikan infrastruktur (contoh: kualitas pelayanan yang semakin baik) maupun kegagalannya (contoh: kebocoran data). Informasi-informasi ini akan disampaikan secara transparan dan bersifat paling aktual.  

Tidak seperti sertifikasi konvensional, Continuous Service Certification menjadikan kondisi terkini cloud sebagai objek penilaian kepatuhan.

Seluruh manfaat CSC tersebut muncul melalui empat proses yang terus berulang. Pertama, dengan bantuan mesin, penyedia layanan cloud akan memantau, mengumpulkan, dan mengirimkan data hasil pemantauan yang sudah dianonimkan ke otoritas sertifikasi. Pada tahapan ini, otoritas sertifikasi tidak hanya menunggu data dari penyedia cloud, ia juga secara aktif melakukan audit eksternal terhadap layanan cloud. Kedua, otoritas sertifikasi akan menganalisis seluruh data pemantauan dan audit berdasarkan standar yang sudah ditetapkan.

Setelah analisis selesai dilakukan, proses ketiga yaitu otoritas cloud akan menerbitkan sertifikat yang sudah diperbarui. Melalui sertifikat terbaru ini, pengguna bisa mengetahui status keamanan terkini cloud dan berbagai permasalahan besar apa saja yang sudah menimpa cloud.

Keempat, penyedia dan otoritas sertifikasi akan melakukan penyesuaian. Penyedia cloud akan melakukan penyesuaian struktural berdasarkan laporan sertifikasi. Otoritas sertifikasi akan menyesuaikan standar sertifikasi berdasarkan perubahan legal maupun kemunculan ancaman keamanan terbaru. Proses sertifikasi ini akan dimulai lagi ke tahap pertama setelah penyesuaian selesai dilakukan.[10]

Referensi

  1. Benlian, A. & Hess, T. (2011). Opportunities and risks of software-as-a-service: Findings from a survey of IT executives. Decision Support System. 52(1). 232–246. https://doi.org/10.1016/j.dss.2011.07.007 
  2. Gallagher, S. (2014). What Jennifer Lawrence can teach you about cloud security. Arstechnica. Retrieved from https://arstechnica.com/information-technology/2014/09/what-jennifer-lawrence-can-teach-you-about-cloud-security/ 
  3. Kouatli, I. (2014). A comparative study of the evolution of vulnerabilities in IT systems and its relation to the new concept of cloud computing. Journal of Management History. 20(4), 409–433. https://doi.org/10.1108/JMH-02-2014-0018 
  4. Whitman, M., & Mattord, H. (2011) Cloud-based IT governance. In Halpert B (Ed.), Auditing cloud computing: a security and privacy guide. Wiley.
  5.  Top Threats Working Group. (2016). The treacherous 12: Cloud computing top threats in 2016. Retrieved from https://downloads.cloudsecurityalliance.org/assets/research/top-threats/Treacherous-12_CloudComputing_Top-Threats.pdf 
  6.  Sunyaev A, Schneider S (2013) Cloud services certification. Communication ACM. 56(2):33–36. https://doi.org/10.1145/2408776.2408789 
  7. Lins S, Grochol P, Schneider S, Sunyaev A (2016) Dynamic certification of cloud services: trust, but verify! IEEE Secur Priv 14(2):66–71
  8. Krotsiani M & Spanoudakis G & Kloukinas C. (2015). Monitoring-Based Certification of Cloud Service Security. In: Debruyne C, Panetto H, Meersman R, Dillon T, Weichhart G, Yuan A, Ardagna C (Eds.) Proceeding of On the Move to Meaningful Internet Systems: Confederated International Conferences: CoopIS, ODBASE, and C&TC 2015, Rhodes, Greece, October 26-30. Cham: Springer.
  9.  Lins S, Schneider S, Szefer J, Ibraheem S, Sunyaev A (2019) Designing monitoring systems for continuous certification of cloud services: deriving meta-requirements and design guidelines. Communication Association Information System 44:460–510
  10. Lins S, Teigeler H, Sunyaev A (2016) Towards a bright future: enhancing diffusion of continuous cloud service auditing by third parties. Research Papers. 130. Retrieved from: https://aisel.aisnet.org/ecis2016_rp/130
Cloud ComputingCybersecuritySerangan SiberSertifikasiKeamanan Siber

Bagikan artikel ini:

← Kembali ke semua artikel

Artikel Terbaru

Baca artikel selanjutnya

  • Teknologi

    IoT dalam Penerapan e-Government di Indonesia

    Penerapan e-Government memerlukan perubahan pola relasi antara pemerintah dengan stakeholder sehingga sangat membutuhkan peran top level manajemen dalam pengambilan kebijakan terhadap transformasi relasi tersebut.

    Fathin Difa | 22 Sep 2022 | 4 min

  • Pemerintahan

    Diskon Kacamata Ray Ban 90%!: Kejahatan Siber dalam Media Sosial

    Transformasi digital tidak serta-merta mengubah kodrat manusia sebagai makhluk sosial. Bagaimanapun, keberadaannya sudah memberikan manusia sebuah cara baru dalam berkomunikasi.

    Mukti Tama P. | 29 Jun 2022 | 4 min

  • Pemerintahan

    Optimalisasi Pelayanan Berbasis Teknologi untuk Penanganan Kasus Stunting

    Stunting merupakan kondisi kurang gizi kronis yang ditandai dengan pertumbuhan yang terhambat sehingga anak balita (di bawah 5 tahun) yang terkena stunting memiliki tubuh yang pendek.

    Anggita Utomo | 14 Jun 2022 | 5 min
logo TF
Innovating Indonesia
Perusahaan
Layanan
Newsletter
Copyright © 2022 Innovating Indonesia