Cloud Security

        Dari tahun 2022 sampai dengan sekarang sudah banyak sekali perusahaan yang menggunakan cloud agar aplikasinya di hosting di cloud dibandingkan di server sendiri, terlebih perusahaan tidak perlu memikirkan dari sisi server yang bisa saja berubah keperluan workload-nya. Dengan cloud perusahaan bisa mengatur resource yang tersedia dan bayar sesuai yang mereka pakai, konsep itu dinamakan pay as you go. Setiap kali aplikasi yang di publish ke public menggunakan cloud akan meninggalkan pertanyaan tentang siapa yang bertanggung jawab dari sisi security-nya? 

        Cloud security adalah suatu sistem yang dibuat untuk meningkatkan keamanan dari cloud tentang data, aplikasi dan infrastruktur lainnya. Pada umumnya cloud memiliki service yang dibagi menjadi 3 yaitu:

  • Platform as a Service (PaaS)

        Pada PaaS ini ketika kita buat aplikasi dan di deploy ke public menggunakan cloud, kita bertanggung jawab dari sisi security aplikasi dan data, sementara cloud provider bertanggung jawab dari security cloud-nya termasuk kepatuhan terhadap peraturan-peraturan yang ada, memastikan sisi availability aplikasi yang berjalan pada cloud, dari sisi jaringan, Operating system, dll.

  • Infrastructure as a Service (IaaS)

Pada IaaS ini kita yang menggunakan cloud akan bertanggung jawab lebih dibanding dengan Platform as a Service, karena lingkup yang diurus itu jadi lebih luas melibatkan operating system, runtime, juga middleware.

  • Software as a Service (SaaS)

Sedangkan pada SaaS cloud provider akan bertanggung jawab pada semua hal.

Dari statistik tahun 2022 dari Cloudwards 94 persen perusahaan sudah menggunakan cloud, tetapi pada praktiknya masih banyak masalah dari sisi cloud security seperti:

  • Misconfiguration, contohnya kesalahan konfigurasi penyimpanan storage, kesalahan konfigurasi group, dll.
  • Access control, ketidakmatangan implementasi dalam authentication dan authorization sehingga menyebabkan terdapat user yang tidak berhak mengakses jadi bisa mengakses.
  • Data breach, yang bermula dari vulnerabilities pada aplikasi yang berjalan pada cloud atau software yang tidak atau belum di update (patched).
  • Insider attack, orang internal yang mempunyai privileges untuk mengakses sehingga dapat disalahgunakan yang berujung pada hal yang tidak diinginkan.
  • Account hijacking, contohnya account take over yang memiliki akses privileges sehingga berujung pada hal yang tidak diinginkan.
  • DDoS, memang kalau aplikasi kita sudah rilis ke public itu artinya siapa saja bisa untuk mengaksesnya, disini sisi availability dari aplikasi harus bisa dijaga.
  • Insecure API, API yang tersedia tidak didesain secara secure sehingga bisa untuk dieksploitasi dan berujung pada hal yang tidak diinginkan.

source: loiliangyang

 

Pada dasarnya jika ingin mengimplementasi security control pada cloud, kita harus tau dulu bagaimana serangan itu bekerja setidaknya secara umum.

Serangan pada cloud akan bermula pada tahap reconnaissance atau pemantauan, dimana penyerang akan mendapatkan informasi sebanyak-banyaknya dari manapun sumbernya seperti mencoba langsung aplikasinya, melalui search engine, social engineering, dll. Dari sisi ini kita dapat menerapkan security controls seperti policies dan procedures, firewall, meningkatkan cyber security awareness untuk mencegahnya, dll.

Selanjutnya penyerang akan melakukan weaponize atau menyiapkan payload serangan sesuai dengan informasi yang didapat pada tahap reconnaissance, di tahap ini kita bisa melakukan security control dengan mempersiapkan threat and vulnerability mitigation yang bisa kita lakukan itu apa saja.

Selanjutnya penyerang akan mencoba untuk mengirimkan serangan, di sisi ini kita bisa memitigasi dengan menggunakan anti-virus supaya signature/pola serangan yang serupa bisa terdeteksi dan di handle oleh anti-virus dan web-proxy.

Selanjutnya penyerang akan melakukan exploitasi bisa seperti scripting, scheduling job, dll. Disini salah satu cara untuk menanganinya adalah dengan menerapkan IPS/IDS ketika terjadi suatu hal yang tidak dikehendaki dan sudah di set pada IPS/IDS, dapat melakukan pemblokiran serangan atau mengaktifkan alarm kalau ada yang tidak beres agar dicek oleh pihak terkait.

Salah satu hal yang tidak kalah penting dalam cloud security adalah log information, semua aktivitas yang terjadi sebisa mungkin di logging, jika terjadi hal yang tidak diinginkan kita bisa melakukan analisis dari data logging tersebut untuk mencari sumber masalahnya dari mana saja.

Balik ke pertanyaan awal, jadi siapa yang bertanggung jawab terhadap security dari sisi cloud? Apakah itu cloud provider atau perusahaan yang memakai jasa cloud tersebut? Jawabannya adalah semua pihak mempunyai peran dan tanggung jawabnya masing-masing.

 

 

Referensi:

 

Jonathan & Johanes