View
215
Download
1
Category
Preview:
Citation preview
Theft of Information di dalam Teknologi Cloud Computing dan
Teknik Mengamankan Data sebagai Pencegahan Pencurian
Data
Abstraksi
Sekarang ini, isu Cloud Computing menjadi isu utama di tahun 2010. Banyak perusahaan
yang berencana untuk memindahkan aplikasi dan storagenya ke dalam Cloud Computing.
Tetapi masih banyak isu keamanan yang muncul, karena teknologi yang baru ini. Salah
satu isu keamanannya adalah Theft of Information, yaitu Pencurian terhadap data yang
disimpan di dalam Storage Aplikasi yang menggunakan teknologi Cloud Computing.
Kerugian yang akan diperoleh oleh Pengguna Teknologi ini sangat besar, karena
Informasi yang dicuri menyangkut Data rahasia milik perusahaan, maupun data – data
penting lainnya. Beberapa Tindakan untuk melakukan pencegahan terhadap Pencurian
Data ini dilakukan pada tingkat Server access security, Internet Access security,
Database Access security, Data privacy security dan Program Access Security. Hal ini
dapat mencegah pencurian data. Pencegahan keamanan dapat dilakukan secara fisik
maupun secara digital. Pencegahan ini dilakukan pada level Database Access Security.
Karena di dalam database terdapat data milik user. Hal ini dilakukan oleh penyedia
layanan
Keywords : Cloud Computing, Keamanan, Theft of Information
Pendahuluan
1. Teknologi Cloud Computing
Menurut e-book “Digital forensics for network, Internet, and cloud computing: a forensic
evidence guide for moving targets and data” karangan Terrence V. Lillard, dijelaskan
mengenai definisi sederhana dari Teknologi Cloud Computing yaitu
“Cloud computing can be thought of as a simple rental of computer space in another
company’s data center.”
Maksudnya adalah Teknologi Cloud Computing dapat didefinisikan secara sederhana sebagai
sebuah Perusahaan dengan Pusat Data yang menyediakan rental Space Storage. Perusahaan
ini hanya menyediakan Infrastruktur untuk tempat penyimpanan data dan aplikasi dari suatu
perusahaan.
Dalam e-book “Cloud Computing Strategies” karangan Dimitris N. Chorafas menjelaskan
Cloud Computing sebagai Teknologi On-Demand
OnDemand is a generic issue in cloud computing; cloud computing is a strategic
inflection point in information technology. Not only applications software but also
platforms, infrastructure, and enabling services
Maksudnya adalah Teknologi Cloud Computing merupaka Teknologi yang berbasiskan pada
permintaan dari User. Teknologi ini merupakan salah satu Inflection Point, tidak hanya
Aplikasi Perangkat Lunak yang berbasiskan Cloud Computing tetapi Plaform, Infrastruktur
Basis Data maupun Pelayanan dapat berbasiskan Cloud Computing.
Gambar 1 : Pemodelan Teknologi Cloud Computing
(Sumber : http://teknik-informatika.com)
4 Pilar Utama Teknologi Cloud Computing menurut e-book “Cloud Computing Strategies”
adalah
Applications
Platforms
Infrastructure
Enabling Services.
Gambar 2 : Pilar Utama Cloud Computing
(sumber : Cloud Computing Strategies Halaman 11)
Beberapa Jenis Pelayanan dari Teknologi Cloud Computing diambil dari e-book Cloud
Computing : Implementation and Security karangan John W. Rittinghouse dan James F.
Ransome adalah
Software as a Service ( SaaS)
SaaS adalah salah satu jenis Teknologi Cloud Computing yang menyediakan Aplikasi
melalui Web Browser untuk ribuan pelanggan menggunakan Arsitektur untuk Multiuser.
Fokus SaaS adalah pada End-User , sebagai pengatur jasa layanan. Untuk pelanggan,
tidak ada biaya investasi awal pada pembelian server atau lisensi perangkat lunak. Untuk
penyedia layanan, dengan produk tunggal yang dimiliki, biaya yang dikeluarkan relatif
lebih rendah dibandingkan dengan biaya untuk melakukan Hosting secara konvensional.
Contoh Aplikasi yang menggunakan Teknologi Cloud Computing sebagai SaaS adalah
Salesforce.com.
Gambar 3 : Pemodelan SaaS
( Sumber : Presentasi Cloud Computing Security halaman 9)
Platform as a Service ( PaaS)
Platform-as-a-Service (PaaS) adalah salah satu variasi lain dari SaaS. Kadang-kadang
disebut hanya sebagai layanan Web di dalam Teknologi Cloud Computing, PaaS dan
SaaS saling berkaitan erat dengan menyediakan platform untuk bekerja pada sebuah
Platform Aplikasi tertentu. Aplikasi penyedia Layanan ini menawarkan antarmuka
pemrograman (API) yang memungkinkan para pengembang untuk memanfaatkan fungsi
melalui Internet, daripada menyediakan aplikasi yang lengkap secara lokal. Variasi
Teknologi Cloud Computing ini menyediakan lingkungan pengembangan untuk
programmer, Analis, dan Software sebagai instruktur pelayanan. Contoh Aplikasi yang
menggunakan Teknologi Cloud Computing sebagai PaaS adalah Google App Engine.
Gambar 4 : Pemodelan PaaS
( Sumber : Presentasi Cloud Computing Security halaman 28)
Infrastructure as a Service (IaaS)
Infrastruktur as a Service (IaaS) adalah penyedia infrastruktur (biasanya sebuah platform
di lingkungan virtualisasi) yang menyediakan pelayanan. IaaS memanfaatkan investasi
yang signifikan dari layanan pusat data dan teknologi untuk memberikan TI sebagai
layanan kepada pelanggan. Tidak seperti outsourcing tradisional, yang memerlukan due
diligence yang luas, negosiasi, tak terhingga dan dengan kontrak yang kompleks, model
IaaS berfokus pada penyediaan pelayanan yang diberikan pada infrastruktur dengan
standar khusus yang dioptimalkan untuk aplikasi pelanggan .
Gambar 5 : Pemodelan IaaS
( Sumber : Presentasi Cloud Computing Security halaman 58)
Communication as a Service ( CaaS )
CaaS merupakan solusi outsourcing untuk perusahaan komunikasi. Penyedia Layanan
jenis ini memberikan Solusi berbasis cloud (dikenal sebagai penyedia CaaS) bertanggung
jawab untuk pengelolaan perangkat keras dan perangkat lunak untuk memberikan
layanan Voice Over IP (VoIP) , Pesan Instan (IM) dan kemampuan untuk melkukan
Video Konferensi untuk pelanggan. Model ini mulai berevolusi di dalam Industri
Telekomunikasi (Telco), tidak seperti model SaaS yang muncul dalam bidang jasa
layanan pengiriman perangkat lunak. CAAS vendor bertanggung jawab untuk semua
perangkat keras dan perangkat lunak manajemen dikonsumsi oleh basis pengguna
mereka. CaaS vendor biasanya menawarkan Quality of Service (QoS) di bawah Service
Level Aggrement (SLA).
Monitoring as a Service (Maas)
MaaS adalah Penentuan Keamanan untuk melakukan Outsourcing teknologi Cloud
Computing, terutama pada perusahaan yang platformnya menggunakan Internet sebagai
Core Business. MaaS telah menjadi semakin populer selama dekade terakhir ini. Sejak
munculnya Teknologi Cloud Computing, popularitasnya telah berkembang bahkan lebih
berkembang lagi. Pemantauan untuk Keamanan adalah untuk melindungi perusahaan
klien atau pemerintah dari Ancaman Cyber Crime. Sebuah tim keamanan memiliki
peranan penting dalam melindungi dan menjaga kerahasiaan, integritas dan ketersediaan
aset teknologi. Namun, kendala waktu dan sumber daya terbatas, operasi keamanan dan
efektif menjadi kendala bagi sebagian besar perusahaan. Hal ini memerlukan
kewaspadaan secara terus menerus pada infrastruktur keamanan dan aset informasi kritis.
Gambar 6: Layanan Teknologi Cloud Computing
( Sumber : Cloud Computing : Implementation and Security halaman 36)
Menurut Saurabh K Prashar, dalam Presentasinya yaitu “Security Issues in Cloud
Computing”, Dia menjabarkan tentang Keuntungan dalam penggunaan Teknologi Cloud
Computing yaitu
• Minimized Capital expenditure
Meminimalisasi pengeluaran modal dari perusahaan. Sekarang ini, untuk Perusahaan
yang sudah menggantungkan Kegiatan Operasionalnya dengan Teknologi IT, akan sangat
terbantu dengan adanya Teknologi Cloud Computing ini. Dengan adanya Cloud
Computing, perusahaan dapat menghemat pembelian Infrastruktur, seperti Pembelian
Server, dan untuk Infrastruktur yang lainnya.
• Location and Device independence
Lokasi dan Peralatan yang akan digunakan untuk mendukung Teknologi Cloud
Computing berdiri sendiri, tidak bergantung pada perusahaan yang akan menerapkan
teknologi Cloud Computing. Sehingga penggunaan Teknologi Cloud Computing lebih
disarankan untuk dilakukan secara Outsourcing.
• Utilization and efficiency improvement
Utilitas dan Efisiensi menjadi Improve dari teknologi Cloud Computing ini. Pengguna
dapat menggunakan Teknologi ini secara efektif sehingga kinerja perusahaan maupun
organisasi dapat berjalan lebuh baik lagi.
• Very high Scalability
Skalabilitas yang sangat tinggi, membuat Teknologi Cloud Computing ini mulai digarap
oleh beberapa perusahaan besar. Pengguna membutuhkan Skalabilitas yang tinggi,
sehingga aplikasi dapat berjalan dengan baik.
• High Computing power
Bila menggunakan Teknologi Cloud Computing, Pemrosesan data akan lebih baik, dan
akan lebih cepat karena menggunakan Komputasi yang banyak dan menggunakan
Resource yang banyak sehingga waktu untuk proses sebuah aplikasi menjadi lebih cepat
dan lebih baik.
Beberapa contoh Aplikasi yang menawarkan Teknologi Cloud Computing antara lain :
- Amazon Web Services (AWS), dimana User akan membeli aplikasi yang bernama
Amazon Machine Image (AMI) baik berbasiskan Linux atau Windows. Perusahaan dapat
menjalankan Aplikasi ini secara virtual ataupun secara fisik. Perusahaan tidak
membutuhkan Network Infrastructure, dan juga Firewalls di dalam Pusat Data ataupun
juga memiliki Supporting Hardware di dalam Operating System. Informasi lebih lanjut
dapat melihat “http://aws.amazon.com”.
- Selain itu terdapat juga Teknologi Cloud Computing yang dibangun oleh Microsoft, yaitu
Microsoft Azure. Dengan Microsoft Azure, Perusahaan memiliki segala sesuatu pada
sistem operasi dan tidak bisa mengubah apa pun dalam sistem operasi, termasuk registri.
Setiap program yang diinstal pada sistem hanya dapat diinstal sebagai XCopy, hal ini
sebagai standar dari Aplikasi Microsft Azure. Microsoft Azure diciptakan untuk
mendukung program layanan Web dan hal ini memerlukan sebuah pendekatan baru untuk
berpikir tentang pemrograman, serta perangkat lunak tradisional, termasuk failover di
dalamnya.
Teknologi Cloud Computing merupakan Teknologi yang menggunakan Pelayanan secara
Virtual. Virtualisasi menjadi isu utama dalam penggunaan Teknologi ini. Beberapa
perusahaan besar seperti VMWare dan Sun Microsystem menjadi penyedia layanan untuk
Teknologi Virtualisasi ini. Menurut e-book Cloud Computing : Implementation and Security,
teknologi virtualiasi merupakan
Virtualization is a method of running multiple independent virtual operating systems on a
single physical computer.
Virtualiasai merupakan metode untuk menjalankan Multiple Virtual Operating system dalam
satu Server Fisik. Dengan Teknologi Virtualiasi ini akan sangat memudahkan dalam
penggunaan, karena 1 Server dapat menampung beberapa Sistem Operasi secara bersama –
sama. Teknologi Virtualisasi ini sangat identik dengan Teknologi Cloud Computing.
2. Ancaman Keamanan dalam Cloud Computing
Dalam Presentasi yang dilakukan oleh Security Issues in Cloud Computing, Saurabh K
Prashar menyatakan bahwa Masalah Security merupakan Masalah Utama yang timbul
dengan adanya Teknologi Cloud Computing. Dengan adanya Teknologi ini, keamanan data
dari setiap user tidak dapat terjamin, karena setiap data dan informasi yang dimiliki terdapat
di Cloud atau di Internet tepatnya. Hal ini menjadi isu utama dari Teknologi Cloud
Computing . Seperti digambarkan di dalam diagram di bawah, gambar tersebut merupakan
hasil survey kepada beberapa orang dan mereka menyatakan bahwa Isu Security terhadap
Teknologi Cloud Computing sangat besar.
Gambar 7 : Perbandingan Permasalahan dalam Teknologi Cloud Computing
( Sumber : Presentasi Security Issues in Cloud Computing halaman 5)
Dengan adanya Aspek Keamanan, dapat mencegah Danger atau Bahaya dan Vulnerabilities
atau Aspek Kerentanan terhadap suatu aplikasi yang mengadaptasi teknologi Cloud
Computing.
Untuk Aspek Danger yang dapat timbul dari penggunaaan Teknologi Cloud Computing
antara lain
Disrupts Services
Maksudnya adalah Layanan Terganggu, biasanya hal ini terjadi karena faktor alam,
karena cuaca yang kurang baik sehingga koneksi tidak dapat berjalan dengan baik
atau adanya Bencana Alam yang membuat Server penyedia layanan bermasalah dan
tidak dapat berjalan sebagaimana semestinya.
Theft of Information
Hal inilah yang akan dibahas secara lebih mendalam di dalam Paper ini. Pencurian
data menjadi isu yang cukup menarik, karena banyaknya cara – cara pencurian data
seperti DoS ( Denial of Service) maupun tipe pencurian data yang lain. Aplikasi
dengan Teknologi Cloud Computing merupakan aplikasi yang sangat rentan dengan
pencurian data. Hal ini karena data disimpan di Server yang berada di Internet,
sedangkan jaringan di Internet sangat rentan untuk disadap atau dicuri.
Loss of Privacy
Bahaya ini adalah dengan hilangnya Privacy dari User atau pengguna karena
menyerahkan dokumen yang dianggap penting dan rahasia kepada pihak penyedia
pelayanan. Hal ini cukup membahayakan bila terjadi kebocoran data. Selain itu hal –
hal pribadi milik pengguna sudah tidak dapat terjamin lagi kerahasiannya.
Damage information
Data yang dimasukkan melalui Jaringan Internet dapat rusak, hal ini karena Koneksi
jaringa yang kurang baik, sehingga data menjadi Corrupt dan juga tidak digunakan
kembali. Hal ini cukup mengganggu bila data yang rusak cukup banyak dan tidak
memiliki Backup.
Untuk Aspek Vulnerabilities ( Kerentanan ) adalah sebagai berikut
Hostile Program
Program yang berbeda dengan program yang diharapkan. Hal ini dapat terjadi karena saat
melakukan Hosting untuk aplikasi tidak dapat berjalan dengan baik. Selain itu hal ini
dapat terjadi karena perbedaan Plaform yang digunakan antara Aplikasi di Server Local
dengan aplikasi yang disediakan oleh penyedia pelayanan.
Hostile people giving instructions to good programs
Beberapa hacker atau orang yang tidak baik, memberikan nasihat yang tidak baik pada
saat akan dilakukan hosting untuk aplikasi, sehingga aplikasi yang dihasilkan tidak dapat
berjalan baik dan juga aplikasi tersebut dapat dengan mudah dirusak atau diambil data
pentingnya. Hal ini cukup membahayakan untuk kelangsungan dari Aplikasi ini.
Bad guys corrupting or eavesdropping on communications
Orang – orang yang jahat sering melakukan penyadapan terhadap komunikasi yang
dilakukan antara jaringan privat di aplikasi yang berada di Server penyedia layanan
dengan user yang berada di Server Lokal.
Tabel 1 : Kebutuhan Keamanan secara Umum
( Sumber : Presentasi Security Issues in Cloud Computing halaman 7)
Kebutuhan Keamanan secara umum adalah
o Confidentiality
o Integrity
o Availabilty
o Non-Repuditation
3. Pencegahan Pencurian Data
Pencurian Data dalam Teknologi Cloud Computing merupaka salah satu isu keamanan yang
cukup besar. Hal ini karena setiap Hacker dapat menggunakan berbagai cara untuk
mendapatkan informasi yang mereka butuhkan dari suatu perusahaan tertentu. Ada beberapa
cara untuk dapat mencegah hal ini dapat terjadi.
Beberapa cara pencurian data adalah dengan
- Denial of Service
Contoh : DNS Hacking, Routing Table “Poisoning”, XDoS Attacks
- QoS Violation
Contoh : Delaying or Dropping packetsMan in the Middle Attack
- IP Spoofing
- Port Scanning
- ARP Cache Attack
Keamanan untuk Cloud Computing dilakukan pada level – level seperti di bawah ini
Server access security
Internet access security
Database / Datacenter access security
Data privacy security
Program access Security
Setiap level di atas, harus diberikan keamanan yang baik. Misal untuk Server Acces akan
diberikan Firewall yang baik, agar tidak dengan mudah Server ditembus oleh Hacker. Secara
khusus akan dibahas mengenai keamanan di dalam Datacenter access security.
Data dapat dicuri secara fisik yaitu mengambil data langsung ke Pusat Data / Data Center
maupun dapat mencuri dengan cara hacking langsung ke dalam Basis data. Untuk keamanan
di dalam Sebuah Data Center diperlukan beberapa hal berikut ini, hal ini lebih kearah fisik
untuk pengamanan data center. Pengamanan ini dilakukan oleh Pihak Penyedia Layanan.
• Professional Security staff utilizing video surveillance, state of the art intrusion detection
systems, and other electronic means.
Penggunaan Petugas keamana yang professional yang dilengkapi denga kamrea
pengawas dan berbagai sistem keamanan yang lainnya.
• When an employee no longer has a business need to access datacenter his privileges to
access datacenter should be immediately revoked.
Untuk setiap petugas yang sudah tidak bertugas di dalam Pusat Data harus dihapus hak
aksesnya untuk dapat masuk ke dalam Pusat Data. Bila hal ini tidak dilakukan, maka
akan sangat dimungkin bila Pencurian Data dapat dilakukan.
• All physical and electronic access to data centers by employees should be logged and
audited routinely
Setiap Akses secara Elektronik dan akses secara fisik ke dalam Pusat Data yang
dilakukan oleh Pegawai harus dilakukan audit secara rutin. Hal ini dimaksudkan agar
perusahaan dapat mengetahui track record dari setiap pegawai.
• Audit tools so that users can easily determine how their data is stored, protected, used,
and verify policy enforcement.
Digunakan Aplikasi untuk melakukan proses audit,hal ini dilakukan agar dapat
mengetahui bagaimana data disimpan, dijaga, digunakan dan data tersebut akan
diverifikasi dengan peraturan yang sudah ada.
Selain itu untuk keamanan sebuah Pusat Data diperlukan tempat penyimpanan yang mudah
dijangkau tetapi dengan tingkat keamanan yang tinggi dan juga diperlukan sebuah Backup
Storage.
Sedangkan untuk pengamanan dari segi digital, dapat digunakan beberapa carap berikut
Dapat dibuat 1 buah server yang berada di Front-End. Server ini berfungsi untuk menjadi
Server Palsu, yang di dalamnya bukan berisi data asli milik Perusahaan Penyedia
Pelayanan, dapat dibuat juga beberapa server storage seperti ini agar dapat mengelabui
para Hacker yang akan melakukan pencurian data.
Untuk keamanan juga dapat digunakan authentifikasi yang berlapis. Hal ini dimaksudkan
agar keamanan dapat berlapis dan juga hanya beberapa user saja yang memiliki
Privilledge khusus yang dapat mengakses Data Center utama.
Dapat menggunakan koneksi VPN ( Virtual Private Network ), dimana antara Server dan
User dapat saling berhubungan di dalam satu jalur saja. Jalur Khusus ini dapat membantu
keamanan jaringan.
Diperlukan juga satu layer khusus untuk Anti-Virus, hal ini juga dapat mencegah bila ada
penyusup yang akan masuk ke dalam aplikasi.
Gambar 8 : Layer dalam VM dengan Teknologi Cloud Computing
( Sumber : Presentasi Security Issues in Cloud Computing halaman 26)
4. Kesimpulan
Isu keamanan di dalam Teknologi Cloud Computing saat ini menjadi isu utama, terutama
isu pencurian data yang dilakukan oleh Hacker maupun pencurian secara langsung ke
dalam Pusat Data secara fisik. Bila pencurian data tersebut terjadi dapat merugikan user
secara umum, karena selain data rahasia diambil, perusahaan tidak dapat menjalankan
perusahaan dengan baik. Beberapa tindakan untuk mencegah terjadinya pencurian data
data ini, secara fisik adalah dengan mengatur akses pegawai yang dapat masuk ke dalam
data center dan penggunaan kamera pengawas serta tindakan pencegahan yang lainnya.
Sedangkan untuk pencegahan secara digital, Penyedia Layanan dapat membuat satu
server yang isinya data palsu agar dapat mengelabui Hacker, selain itu dapat juga
dilakukan Authentifikasi yang berlapis agar keamanan dapat lebih berjalan dengan baik.
DAFTAR PUSTAKA
[1] Prashar, Saurabh K. Security Issues in Cloud Computing : 2010
[2] Lillard, Terrence. Digital forensics for network, Internet, and cloud computing: a forensic
evidence guide for moving targets and data, Burlingon USA : Elsevier Inc, 2010
[3] B., Andrew, S., Alex, W., Nathan. Cloud Computing Security : Raining on the Trendy
New Parade, BlackHat USA : ISEC Partners, 2009
[4] W. R., John, F. R., James. Cloud Computing : Implementation, Management, and
Security, Boca Raton : Taylor & Francis Group, 2010
[5] N. C., Dimitris. Cloud Computing Strategies, Boca Raton : Taylor & Francis Group,
2010
Recommended