bab i keamanan pada cloud computing

5/24/2018 Bab i Keamanan Pada Cloud Computing

1/30

1

BAB I

PENDAHULUAN

1.1.LATAR BELAKANGCloud Computing merupakan model komputasi dimana sumber daya

seperti daya komputasi, media penyimpanan (storage), jaringan (network) dan

software dijalankan sebagai layanan melalui media jaringan, bahkan dapat diakses

di tempat manapun selama terkoneksi dengan jaringan lokal ataupun dengan

jaringan internet.

Pengertian umum dari cloud computing adalah pemberian layanan host

secara luas melalui internet. Secara prinsip, teknologi ini didasarkan pada

kumpulan beberapa teknologi dari hasil riset sebelumnya seperti Service-Oriented

Architecture (SOA), Distributed System, Grid Computing, dan virtualisasi yang

kemudian dimodifikasi dan diperbaharui menjadi sebuah konsep baru serta

dikemas sedemikian rupa menjadi sebuah model bisnis yang diberi nama cloud

computing (Afdhal, 2013).

Disamping kelebihan dari cloud computing ini juga diimbangi dengan

adanya beberapa kelemahan, terutama disegi keamanan. Dasar dari cloud

computing yang share resource mengakibatkan keamanan dari resources terutama

dalam hal keamanan data pribadi pada model SPI rawan di bobol.


2/30

2

Dalam Presentasi yang dilakukan oleh Security Issues in Cloud

Computing, Saurabh K Prashar, 2010 menyatakan bahwa masalah security

merupakan masalah utama yang timbul dengan adanya teknologi Cloud

Computing. Dengan adanya teknologi ini, keamanan data dari setiap user tidak

dapat terjamin, karena setiap data dan informasi yang dimiliki terdapat di Cloud

atau di internet tepatnya. Hal ini menjadi isu utama dari teknologi Cloud

Computing.

iCloud merupakan merupakan layanan komputasi awan terbaru yang

dipublikasikan oleh Apple Inc. dalam acara Apple Worldwide Developers

Conference (WWDC) yang diadakan tanggal 6 Juni 2011 di San Fransisco. iCloud

memungkinkan para penggunanya untuk mensinkronisasi data seperti foto, musik,

dan dokumen ke dalam iPhone, iPad, iPod Touch, Mac dan komputer secara

otomatis pada waktu yang bersamaan. Sehingga pengguna dapat mengaksesnya

dimana saja dan kapan saja tanpa perlu mem-back up data secara manual. Dengan

adanya otomatis update, data yang tidak diinginkan untuk disimpan di iCloud juga

akan otomatis tersimpan.

(Pratiwi, 2011) Cloud computing merupakan model komputasi yang

memungkinkan usernya untuk menggunakan resource (networks, servers, storage,

applications, dan services) yang ada dalam sebuah jaringan cloud (internet)

sehingga dapat di share dan digunakan bersama. Secara ekonomis, penerapan

cloud computing mampu menghemat pengeluaran karena, tidak perlu

mengalokasikan untuk biaya hardware maupun software. Organisasi cukup

menyewa sebuah layanan cloud computing pada penyedia layanan saja. Model


3/30

3

pembayaran pun bisa berdasarkan pemakaian atau dengan berlangganan.

Sehingga dengan penerapan teknologi cloud computing ini mampu menghemat

pengeluaran organisasi.

Cloud computing dalam beberapa tahun terakhir menjadi hot word di

dunia teknologi informasi ( TI ). Nama besar, seperti IBM, Microsoft, Google,

dan Apple adalah beberapa contoh penguasa terbesar komputasi awan.IBM

misalnya pada akhir tahun 2009 meluncurkan LotusLive, layanan kolaborasi

berbasis cloud, Microsoft, Ray Ozzie sebagai chief software architect pengganti

Bill Gates, sudah menggadang windows Azure, sistem operasi berbasis cloud

menjadi masa depan Windows OS. Apple menyediakan layanan Mobile Me

(sekarang diganti menjadi iCloud) yang memungkinkan pengguna produk Mac

melakukan sinkronisasi data dalam cloud. Sementara google memberikan layanan

google docs. Layanan ini memungkinkan user membuat dokumen secara online

tanpa perlu menginstall software di PC atau notebook. Google juga meluncurkan

sistem operasi cloudnya yaitu sistem operasi alternative dari sistem operasi yang

sudah ada yang kemungkinan besar menjadi ancaman serius bagi penyedia sistem

(Angeriana, 2011).

Berdasarkan uraian diatas, penulis tertarik untuk melakukan penelitian

dengan judul Analisis Keamanan Data pada Cloud Computing Khususnya

iCloud.


4/30

4

1.2.IDENTIFIKASI MASALAHCloud Computing pada saat ini menjadi sorotan dunia. Pada

perkembangan cloud computing, apple juga menciptakan sebuah cloud yang

diberi nama iCloud. Dengan semakin berkembangnya layanan ini, menimbulkan

beberapa masalah salah satunya yaitu pada keamanannya. Keamanan pada cloud

saat ini menggunakan keamanan pada SPI model.

1.3.PEMBATASAN MASALAHAgar pembahasan tidak meluas dan menyimpang dari permasalahan yang

ada, maka dalam penyusunan penelitian ini dibatasi pada lapisan keamanan pada

cloud computing, layanan yang disediakan oleh iCloud dan keamanan pada

iCloud.

1.4.RUMUSAN MASALAHBerdasarkan uraian di atas, maka pada penelitian ini yang menjadi

rumusan masalah adalah sebagai berikut :

1. Apa saja keamanan yang ada pada cloud computing ?2.

Apa saja layanan yang disediakan oleh iCloud ?

3. Bagaimana tingkat keamanan pada iCloud ?

1.5.TUJUAN PENELITIANAdapun tujuan yang ingin dicapai pada penelitian ini adalah:


5/30

5

1. Mengetahui tingkat lapisan keamanan pada cloud computing.2. Mengetahui layanan-layanan yang tersedia pada iCloud.3. Mengetahui tingkat keamanan pada iCloud.

1.6.MANFAAT PENELITIANBerdasarkan tujuan penelitian, maka dengan penelitian ini diharapkan

mempunyai manfaat atau kegunaan dalam pendidikan baik secara langsung

maupun tidak langsung. Adapun manfaat penelitian ini adalah sebagai berikut:

1. Untuk memahami lapisan keamanan pada Cloud Computing.2. Bagi peneliti, penelitian ini dapat menambah pengetahuan dan

pengalaman dalam penulisan karya ilmiah.

3. Sebagai pedoman dan acuan bagi penulis lainnya di masa yang akandatang, guna melakukan penelitian untuk membuat suatu sistem

komputasi internet yang memiliki kemudahan dan keamanan dalam

pengelolaan dokumen.


6/30

6

BAB II

TINJAUAN PUSTAKA

2.1 CLOUD COMPUTING2.1.1 Pengenalan Cloud Computing

Cloud Computing yang dalam pengertian bahasa Indonesia diterjemahkan

menjadi komputasi awan, beberapa tahun terakhir ini telah menjadi Hot word di

dunia teknologi informasi (TI). Seluruh nama besar seperti IBM, Microsoft,

Google, dan Apple, saat ini sedang terlibat dalam peperangan untuk menjadi

penguasa terbesar terhadap awan ini. Tentu saja masing-masing mengeluarkan

jurusnya sendiri-sendiri IBM di paruh akhir tahun 2009 kemarin telah

meluncurkan LotusLive, layanan kolaborasi berbasis cloud.

Microsoft, yang sekarang di perkuat oleh Ray Ozzie sebagai Chief

Software Architect pengganti Bill Gates, menggadang Windows Azure, sistem

operasi berbasis cloud yang akan menjadi masa depan Windows OS.

Apple mengambil sisi lain, telah menyediakan layanan Mobile Me yang

memungkinkan pengguna produk Mac, untuk melakukan sinkronisasi data ke

Dalam cloud .

Sementara google raksasa yang lahir di era internet sudah sejak lama

memberikan suatu layanan yang dikenal dengan nama Google Docs. Dengan

layanan ini memungkinkan user dapat membuat dokumen atau dapat bekerja kerja

6


7/30

7

dengan spread sheet secara online tan pa perlu menginstall software di PCatau

Notebook.

Bahkan goole juga meluncurkan system operasi cloud-nya, yang sistem

operasi alternative dari system operasi yang sudah ada, yang mungkin juga

menjadi ancamanserius bagi penyedia sistemoperasi.

Sebelum kita membahas lebih jauh mengenai Cloud Computing,terlebih

dahulu pada bab ini kita akan membahas definisi dari CLOUD COMPUTING.

Untuk itu mari kita lihat beberapa definisi dari Cloud Computing, agar kita

dapat mengenal dan mengerti dengan jelas apa itu Cloud Computing ? kemana

tujuanya ? dan apa resikonya? dan bagaimana organisasi IT atau praktisi IT

mempersiapkan ini ? inilah pertanyaan yang setidaknya akan hadir bagi beberapa

praktisi ataupun peminat IT dibawah ini ada beberapa definisi Cloud Computing

yang dapat membantu kita untuk mengenal apa itu Cloud Computing:

a. Cloud Computing adalah gabungan pemanfaatan teknologi komputer('komputasi') dan pengembangan berbasis Internet ('awan'). Awan (cloud)

adalah metefora dari internet, sebagaimana awan yang sering digambarkan

di diagram jaringan komputer, awan (cloud) dalam Cloud Computing juga

merupakan abstraksi dari infrastruktur kompleks yang disembunyikannya.

Internet Cloud adalah suatu model komputasi di mana kapabilitas terkait

teknologi informasi disajikan sebagai suatu layanan, sehingga pengguna

dapat mengaksesnya lewat Internet.


8/30

8

b. Cloud Computing adalah suatu konsep umum yang mencakupSaaS(software as a service), Web 2.0, dan tren teknologi terbaru lain yang

dikenal luas, dengan tema umum berupa ketergantungan terhadap Internet

untuk memberikan kebutuhan komputasi pengguna.

c. Cloud computing adalah istilah untuk kegiatan menyelesaikan suatu prosesatau perhitungan melalui internet dengan memanfaatkan sumber daya yang

dimiliki oleh suatu kumpulan komputer yang saling terhubung di suatu

tempat.

d. Cloud computing adalah teknologi yang menggunakan internet dan serverpusat yang jauh untuk menjaga/mengelola data dan aplikasi.

e. Cloud Computing secara sederhana dapat didefinisikan adalah "layananteknologi informasi yang bisa dimanfaatkan atau diakses oleh pelanggannya

melalui jaringan internet". Kata-kata "Cloud" sendiri merujuk kepada simbol

awan yang di dunia TI digunakan untuk menggambarkan jaringan internet

(internet cloud).

f. Cloud Computing bisa diartikan sebagai suatu model yang memungkinkanjaringan dapat diakses dengan mudah sesuai kebutuhan di berbagai

lokasi.dimana model ini memungkinkan untuk mengumpulkan sumber daya

komputasi seperti network, server, storage, aplikasi dan services dalam satu

wadah.


9/30

9

Menurut sebuah makalah tahun 2008 yang dipublikasikan IEEE Internet

Computing Cloud Computing merupakan suatu paradigma dimana suatu

informasi secara permanen tersimpan di server (di Internet ) dan tersimpan secara

sementara di computer pengguna (client) termasuk di dalamnya adalah desktop,

computer tablet, notebook, sensor-sensor dan lain lain.

Melihat perkembangan saat ini, maka yang dibutuhkan oleh organisasi IT

ataupun Praktisi IT adalah memberikan berbagai macam layanan terdistribusi dan

pararel secara remote dan dapat berjalan di berbagai device, dan teknologinya

dapat dilihat dari berbagai teknologi yang digunakan dari proses informasi yang

diaplikaikan secara outsourcing sampai dengan penggunaan eksternal data center.

Cloud Computing merupakan model yang dapat mendukung layanan

Everything as a sevice (XaaS). Sehingga dapat mengintegrasikan virtualized

physical sources, virtualized infrastructure.

Cloud computing atau komputasi awan merupakan tren baru di bidang

komputasi terdistribusi dimana berbagai pihak dapat mengembangkan aplikasi

dan layanan berbasis SOA (Service Oriented Architecture) di jaringan internet.

Definisi dan batasan dari Cloud Computing sendiri masih mencari bentuk

dan standarnya. Di mana pasarlah yang akan menentukan model mana yang akan

bertahan dan model mana yang akan berakhir. Namun semua sepakat bahwa

Cloud Computing akan menjadi masa depan dari dunia komputasi. Bahkan

lembaga riset bergengsi Gartner Group juga telah menyatakan bahwa Cloud

Computing adalah wacana yang tidak boleh dilewatkan oleh seluruh organisasi IT


10/30

10

ataupun praktisi IT yang berkepentingan di dunia IT, mulai saat ini dan dalam

beberapa waktu mendatang. Ini disebabkan karena Cloud Computing adalah

sebuah mekanisme yang memungkinkan kita "menyewa" sumber daya teknologi

informasi (software, processing power, storage, dan lainnya) melalui internet dan

memanfaatkan sesuai kebutuhan kita dan membayar sesuai dengan yang

digunakan oleh kita saja. Dengan konsep ini, maka semakin banyak orang yang

bisa memiliki akses dan memanfaatkan sumber daya tersebut, karena tidak harus

melakukan investasi besar-besaran. Apalagi dalam kondisi ekonomi seperti

sekarang, setiap organisasi akan berpikir panjang untuk mengeluarkan investasi

tambahan di sisi IT. Terlebih hanya untuk mendapatkan layanan-layanan yang

mungkin hanya dibutuhkan sewaktu-waktu saja.

Sebagaimana telah dijelaskan pada defenisi di atas bahwa Cloud

Computing adalah layanan teknologi informasi yang di manfaatkan melalui

jaringan Internet, namun tidak semua layanan yang ada di Internet dapat

dikategorikan sebagai layanan Cloud Computing. Ada pun beberapa syarat yang

harus dipenuhi agar layanan yang ada di Internet dikatakan sebagai layanan Cloud

Computing ?

1. Layanan bersifat "On Demand",pengguna dapat berlangganan hanya yang dia butuhkan saja, dan membayar

hanya untuk yang mereka gunakan saja. Misalkan sebuah sebuah internet

service provider menyediakan 5 macam pilihan atau paket-paket internet dan

user hanya mengambil 1 paket internet maka user hanya membayar paket

yang diambil saja.


11/30

11

2. Layanan bersifat elastis / scalable,di mana pengguna bisa menambah atau mengurangi jenis dan kapasitas

layanan yang dia inginkan kapan saja dan sistem selalu bisa mengakomodasi

perubahan tersebut. Misalkan user berlangganan internet pada yang

bandwidthnya 512 Kb/s lalu ingin menambahkan kecepatannya menjadi

1Mb/s kemudian user menelpon costumer service meminta untuk

penambahan bandwitch lalu customer service merespon dengan mengubah

bandwidth menjadi 1 Mb/s.

3. Layanan sepenuhnya dikelola oleh penyedia/provider,yang dibutuhkan oleh pengguna hanyalah komputer personal/notebook

ditambah koneksi internet.

4. Sumber Daya Terkelompok ( Resource pooling )Penyedia layanan Cloud Computing memberikan layanan melalui sumber

daya yang dikelompokkan di satu atau berbagai lokasi data center yang

terdiri dari sejumlah server dengan mekanisme multi-tenant. Mekanisme

multi-tenant ini memungkinkan sejumlah sumber daya komputasi digunakan

secara bersama-sama oleh sejumlah user, dimana sumber daya tersebut baik

yang berbetuk fisik atau virtual, dapat dialokasikan secara dinamis untuk

kebutuhan pengguna / pelanggan sesuai permintaan. Dengan demikian

pelanggan tidak perlu tahu bagaimana dan darimana permintaan akan sumber

daya komputasinya terpenuhi oleh penyedia layanan yang ada di Cloud

Computing. Yang penting setiap permintaan dapat dipenuhi. Sumber daya


12/30

12

komputasi ini meliputi media penyimpanan, memory, processor, pita jaringan

dan mesin virtual.

5. Akses Pita Lebar Layananyang terhubung melalui jaringan pita lebar, terutama dapat diakses secara

memadai memalui jaringan internet. Baik menggunakan thin client, thick

client, ataupun media lain seperti smartphone.

6. Layanan yang terukur. ( Measured Service )Sumber daya cloud yang tersedia harus dapat diatur dan dioptimasi

penggunaannya, dengan suatu sistem pengukuran yang dapat mengukur

penggunaan dari setiap sumber daya komputasi yang digunakan

(penyimpanan, memory, processor, lebar pita, aktivitas user, dan lainnya).

Dengan demikian, jumlah sumber daya yang digunakan dapat secara

transparan diukur yang akan menjadi dasar bagi user untuk membayar biaya

penggunaan layanan.

Selain itu karakterisik dari Cloud Computing adalah sangat cepat di deploy,

instant untuk implementasi. Dalamhal ini :

Biaya start up teknologi ini (Cloud Computing) mungkin akan sangat murahataupun tidak ada, dan juga tidak ada investasi kapital.

Biaya dari service dan pemakaian akan berdasarkan komitmen yang tidakfix.

Pelayanan ini (Cloud Computing) dapat dengan mudah di upgrade ataudowngrade dengan cepat tanpa adanya penalty.


13/30

13

Pelayanan akan menggunakan metode multi-tenant (banyak customer dalam1 platform) Kemampuan untuk meng-customize pelayanan akan menjadi

terbatas.

Dilihat dari jenis layanan tersendiri, Cloud Computing, terbagi dalam 3

jenis layanan (secara umum), yaitu : Software as a Service (SaaS), Platform as a

Service (PaaS) dan Infrastructure as a Service (IaaS). Namun secara spesifik

layanan Cloud Computing lebih dari 3 jenis layanan. Yaitu : SaaS (Service as a

Service), Utility Computing, Web Service, MSP (Management Service Provider),

E-Commerce, Intergrated Net work.

Pembahasan mengenai jenis-jenis layanan ini akan di bahas lebih detail

pada bab 3 (pembahasan di dalam buku ini ).

Sementara dari sifat jangkauan layanan, Cloud Computing terbagi menjadi

4 jenis layanan yaitu Public Cloud, Private Cloud, Community Cloud dan Hybrid

Cloud.

a. Public Cloud.Jenis cloud ini diperuntukkan untuk umum oleh penyedia layanannya.

b. Private Cloud.Merupakan infrastruktur layanan cloud, yang dioperasikan hanya untuk

sebuah organisasi tertentu. Infrastruktur cloud itu bisa saja dikelola oleh

sebuah organisasi itu atau oleh pihak ketiga. Lokasinya pun bisa on-site

ataupun off-site. Biasanya organisasi dengan skala besar saja yang mampu

memiliki/mengelola private cloud ini.


14/30

14

c. Community cloud.Dalam model ini, sebuah infrastruktur cloud digunakan bersama-sama oleh

beberapa organisasi yang memiliki kesamaan kepentingan, misalnya dari sisi

misinya, atau tingkat keamanan yang dibutuhkan, dan lainnya.

d. Hybrid Cloud.Untuk jenis ini, infrastruktur cloud yang tersedia merupakan komposisi dari

dua atau lebih infrastruktur cloud (private, community, atau public).

meskipun secara entitas mereka tetap berdiri sendiri, tapi dihubungkan oleh

suatu teknologi / mekanisme yang memungkinkan portabilitas data dan

aplikasi antar cloud itu. Misalnya, mekanisme load balancing yang antar

cloud, sehingga alokasi sumberdaya bisa dipertahankan pada level yang

optimal.

Manfaat Cloud Computing :

Skalabilitas - Mudah meningkatkan kapasitas, sebagai kebutuhankomputasi berubah, tanpa membeli peralatan tambahan

Accessibility - Akses data dan aplikasi melalui internet dari manasaja.

Mengurangi Biaya Shift Beban - Free staf TI internal dari pembaruan dan isu-isu

konstan.


15/30

15

Selain itu manfaat dan tujuan dari cloud computing dalam rangka

mendukung perangkat lunak yang di gunakan pada Cloud Computing adalah

sebagai berikut :

1. Sistem penagihan yang terencana dan biaya untuk komputasi yangmurah pada tingkat yang sangat mantap.

2. Memberikan performance database yang baik dan handal.3. Memiliki jaminan keamanan yang tinggi yang didukung dengan

dedicated server.

4. Memungkinkan pengguna dapat meminta penyimpanan dalam jumlahbesar atau kecil dengan cepat serta menyediakan system penyimpanan

yang terstruktur yang disebabkan karena ruang penyimpanan yang di

atur secara teratur .

5. Mengefisienkan penggunaan aplikasi dan pengefisienan perangkat kerasyang selama ini di pergunakan user (semuanya tersedia di Cloud

Computing).

6. Menghemat / menekan penggunaan ruang yang berlebi han.7. Mendukung programgo green.

Keprihatinan utama mengenai cloud computing adalah keamanan dan

kehandalan. Banyak organisasi mengalami kesulitan mempercayai informasi

mereka dengan vendor pihak ketiga, dan juga penyedia dipublikasikan padam

telah meningkatkan keprihatinan mereka.


16/30

16

Adapun model pelayanan dari cloud computing menurut National Institute

of Standards and Technology (NIST) sebagai berikut :

1. Software as a Service (SaaS)SaaS adalah layanan dari Cloud Computing dimana pelanggan dapat

menggunakan software (perangkat lunak) yang telah disediakan oleh cloud

provider. Pelanggan cukup tahu bahwa perangkat lunak bisa berjalan dan bisa

digunakan dengan baik.

Contoh dari layanan SaaS ini antara lain adalah:

a. Layanan produktivitas: Office365, GoogleDocs, Adobe Creative Cloud,dsb.

b. Layanan email: Gmail, YahooMail, LiveMail, dsb.c. Layanan social network: Facebook, Twitter, Tagged, dsb.d. Layanan instant messaging: YahooMessenger, Skype, GTalk, dsb.Keuntungan dari SaaS ini adalah kita tidak perlu membeli lisensi software

lagi. Kita tinggal berlangganan ke cloud provider dan tinggal membayar

berdasarkan pemakaian.

2. Platform as a Service (PaaS)PaaS adalah layanan dari Cloud Computing kita bisa menyewa rumah

berikut lingkungannya, untuk menjalankan aplikasi yang telah dibuat. Pelanggan

tidak perlu pusing untuk menyiapkan rumah dan memelihara rumah tersebut.

Yang penting aplikasi yang dibuat dapat berjalan dengan baik.


17/30

17

Pemeliharaan rumah ini (sistem operasi, network, database engine,

framework aplikasi, dll) menjadi tanggung jawab dari penyedia layanan. Sebagai

analogi, misalkan ingin menyewa kamar hotel, kita tinggal tidur di kamar yang

sudah disewa, tanpa peduli bagaimana perawatan dari kamar dan lingkungan

kamar. Yang terpenting adalah, suasananya nyaman untuk digunakan. Jika

suatu saat dibuat tidak nyaman, maka pelanggan dapat pindah ke hotel lain yang

lebih bagus layanannya.

Contoh penyedia layanan PaaS: Amazon Web Service, Windows

Azure, dan GoogleApp Engine.

Keuntungan dari PaaS bagi pengembang dapat fokus pada aplikasi yang

sedang dikembangkan tanpa harus memikirkan rumah untuk aplikasi,

dikarenakan ahl tersebut sudah menjadi tanggung jawab cloud provider.

3. Infrastructure as a Service (IaaS)

IaaS adalah layanan dari Cloud Computing sewaktu kita bisa menyewa

infrastruktur IT ( unit komputasi, storage, memory, network, dsb). Dapat

didefinisikan berapa besar unit komputasi (CPU), penyimpanan data (storage),

memory (RAM), bandwidth, dan konfigurasi lainnya yang akan di sewa. Untuk

lebih mudahnya, layanan IaaS ini adalah seperti menyewa komputer yang masih

kosong. Kita sendiri yang mengkonfigurasi komputer ini untuk digunakan sesuai

dengan kebutuhan kita dan bisa kita install sistem operasi dan aplikasi apapun

diatasnya.


18/30

18

Contoh penyedia layanan IaaS : Amazon EC2, Rackspace Cloud,

Windows Azure, dsb.

Keuntungan dari IaaS ini adalah kita tidak perlu membeli komputer

fisik, dan konfigurasi komputer virtual tersebut dapat diubah (scale up/scale

down) dengan mudah. Sebagai contoh, saat komputer virtual tersebut sudah

kelebihan beban, kita bisa tambahkan CPU, RAM, Storage, dsb. dengan segera.

Disamping kelebihan dari cloud computing ini juga dimbangi dengan

adanya beberapa kelemahan, terutama dalam segi keamanan. Dasar dari cloud

computing yang share resource mengakibatkan keamanan dari resources

terutama dalam hal keamanan data pribadi pada model SPI rawan di bobol.

Dalam Presentasi yang dilakukan oleh Security Issues in Cloud

Computing, Saurabh K Prashar menyatakan bahwa masalah security merupakan

masalah utama yang timbul dengan adanya teknologi Cloud Computing. Dengan

adanya teknologi ini, keamanan data dari setiap user tidak dapat terjamin, karena

setiap data dan informasi yang dimiliki terdapat di Cloud atau di internet tepatnya.

Hal ini menjadi isu utama dari teknologi Cloud Computing.

B. Keamanan pada SPI Model

Adapun kemanan pada cloud computing dapat di lihat dari sudut pandang

SPI ( SaaS, PaaS, dan IaaS) Model.


19/30

19

1. Persoalan Keamanan Pada Software as a Service

Pada model SaaS, Hashizume membagi persoalan keamanan menjadi

beberapa bagian yaitu Application security, Multi-tenancy, Data Security dan

Accesibility.

a. Application security

Dalam cloud computing, aplikasi biasanya dilewatkan melalui jaringan

internet yaitu dengan memanfatkan web browser. Namun kelemahannya dapat

menciptakan kerentanan untuk aplikasi SaaS. Penyerang telah menggunakan web

melakukan kegiatan berbahaya seperti mencuri data sensitif. Tantangan keamanan

dalam aplikasi SaaS tidak berbeda dari teknologi aplikasi web, tetapi solusi

keamanan tradisional tidak efektif melindungi dari serangan, sehingga

pendekatan baru diperlukan. Open Web Application Security Project (OWASP)

telah mengidentifikasi sepuluh ancaman keamanan web aplikasi yang paling

penting.

b. Multi-tenancy

Model multi tenancy ini memungkinkan satu aplikasi bisa di pakai

bersama. Penggunaan model ini memungkinkan lebih efisiennya penggunaan

sumber daya tapi skalabilitas terbatas. Karena data dari beberapa penyewa

kemungkinan akan disimpan dalam database yang sama, risiko kebocoran data

antara penyewa tersebut cukup tinggi. Kebijakan keamanan diperlukan untuk

memastikan bahwa data pelanggan yang disimpan terpisah dari pelanggan lain.

Untuk model akhir, aplikasi dapat ditingkatkan dengan memindahkan aplikasi ke

server yang lebih kuat jika diperlukan.


20/30

20

c. Data Security

Dalam SaaS, organisasi data sering diolah dalam plaintext dan disimpan di

cloud. Penyedia SaaS adalah yang bertanggung jawab atas keamanan data baik itu

diproses dan disimpan. Juga, backup data merupakan aspek penting dalam rangka

untuk memfasilitasi pemulihan apabila terjadi bencana. Penyedia clood bisa

mengkontrak layanan lainnya seperti backup dari penyedia layanan pihak ketiga,

dan hal tersebut bisa menimbulkan kekhawatiran dalam hal keamanan data. Harus

ada regulasi dengan pihak ketiga dalam hal ini.

d. Access Security

Mengakses aplikasi melalui internet dengan web browser membuat

akses dari setiap perangkat jaringan lebih mudah, termasuk komputer publik dan

perangkat mobile. Namun, hal ini akan menambah resiko keamanan seperti

malware.

2. Persoalan keamanan pada Platform-as-a-service (PaaS)

Persoalaan keamanan pada Platform-as-a-service terdiri dari 2 bagian yaitu

Keamanan dari platform PaaS sendiri (yaitu, mesin runtime), dan Keamanan

aplikasi yang berjalan pada platform PaaS. Penyedia PaaS bertanggung jawab

untuk mengamankan platform perangkat lunak yang mencakup mesin runtime

yang menjalankan aplikasi pelanggan. Sama seperti SaaS, PaaS juga membawa

masalah keamanan data dan tantangan. Secara gairs besar baik dari sisi mesin

runtime maupun aplikasi yang berjalan diatasnya, Hashizume mebagi


21/30

21

persoalan keamanan layanan ini menjadi 3 bagian yaitu Third-party

relationships, Development Life Cycle, dan Underlying infrastructure security.

a. Third-party relationships

Dalam hal ini, PaaS tidak hanya menyediakan bahasa pemrograman

tradisional, dan menawarkan pihak ketiga komponen web layanan seperti mashup.

Mashup menggabungkan lebih dari satu elemen sumber ke dalam sebuah unit

tunggal yang terintegrasi. Dengan demikian, model PaaS juga mewarisi masalah

keamanan yang berkaitan dengan mashup seperti keamanan data dan jaringan.

Selain itu, pengguna PaaS harus bergantung pada kedua keamanan alat

pengembangan web-host dan layanan pihak ketiga.

b. Development Life Cycle

Dari perspektif pengembangan aplikasi, pengembang menghadapi

kompleksitas membangun aplikasi yang aman yang dapat diselenggarakan dalam

cloud. Kecepatan di mana aplikasi akan berubah dalam cloud akan

mempengaruhi baik System Development Life Cycle (SDLC) dan keamanan.

Pengembang harus ingat bahwa aplikasi PaaS harus sering ditingkatkan, sehingga

mereka harus memastikan bahwa proses pengembangan aplikasi mereka cukup

fleksibel untuk mengikuti perubahan. Namun, pengembang juga harus memahami

bahwa setiap perubahan komponen PaaS dapat mengganggu keamanan aplikasi

mereka.


22/30

22

c. Underlying infrastructure security

Pada PaaS, pengembang biasanya tidak memiliki akses ke lapisan yang

mendasar, sehingga penyedia bertanggung jawab untuk mengamankan

infrastruktur dasar serta aplikasi layanan. Bahkan ketika pengembang berada

dalam kendali keamanan aplikasi mereka, mereka tidak memiliki kepastian bahwa

alat lingkungan pengembangan yang disediakan oleh penyedia PaaS aman.

Sebagai kesimpulan, ada materi yang kurang dalam literatur tentang

masalah keamanan di PaaS. SaaS menyediakan perangkat lunak yang dikirimkan

melalui web sementara PaaS menawarkan alat pengembangan untuk membuat

aplikasi SaaS. Namun, keduanya dapat menggunakan arsitektur multi-penyewa

sehingga beberapa pengguna secara bersamaan menggunakan perangkat lunak

yang sama. Juga, aplikasi PaaS dan data pengguna juga disimpan dalam server

cloud yang dapat menjadi masalah keamanan seperti yang dibahas pada bagian

sebelumnya. Dalam kedua SaaS dan PaaS, data yang terkait dengan aplikasi yang

berjalan di cloud. Keamanan data ini ketika sedang diproses, dipindahkan, dan

disimpan tergantung pada penyedia.

3. Persoalan Kemanan Infrastructure-as-a-service (IaaS)

IaaS menyediakan sumber daya seperti server, storage, jaringan, dan

sumber daya komputasi lain dalam bentuk sistem virtual, yang diakses melalui

Internet. Pengguna berhak untuk menjalankan perangkat lunak dengan kontrol

penuh dan manajemen pada sumber daya yang dialokasikan kepada mereka.

Dengan IaaS, pengguna cloud memiliki kontrol yang lebih baik atas keamanan


23/30

23

dibandingkan dengan model lain selama tidak ada lubang keamanan di monitor

mesin virtual. Mereka mengendalikan perangkat lunak yang berjalan di mesin

virtual mereka, dan mereka bertanggung jawab untuk mengkonfigurasi

kebijakan keamanan dengan benar. Namun, yang mendasari komputasi, jaringan,

dan infrastruktur penyimpanan dikendalikan oleh penyedia cloud. Penyedia IaaS

harus melakukan upaya besar untuk mengamankan sistem mereka dalam

rangka untuk meminimalkan ancaman yang dihasilkan dari penciptaan,

komunikasi, pemantauan, modifikasi, dan mobilitas. Berikut adalah

beberapa masalah keamanan yang terkait dengan IaaS.

a. Virtualisasi

Virtualisasi memungkinkan pengguna untuk membuat, menyalin, berbagi,

bermigrasi, dan memutar kembali mesin virtual, yang dapat memungkinkan

mereka untuk menjalankan berbagai aplikasi. Namun, juga memperkenalkan

peluang baru bagi penyerang karena lapisan tambahan yang harus dijamin.

Keamanan mesin virtual menjadi sama pentingnya dengan keamanan mesin fisik,

dan setiap cacat dalam salah satu dapat mempengaruhi yang lain. Lingkungan

virtualisasi yang rentan terhadap semua jenis serangan untuk infrastruktur normal,

namun, keamanan merupakan tantangan besar karena virtualisasi menambah poin

lebih banyak masuk dan kompleksitas interkoneksi. Tidak seperti server fisik, VM

memiliki dua batas: fisik dan virtual.


24/30

24

b. Monitor mesin virtual

Virtual Machine Monitor (VMM) atau hypervisor bertanggung jawab

untuk mesin virtual isolasi, sehingga jika VMM terganggu, mesin virtual dapat

berpotensi terganggu juga. VMM adalah perangkat lunak tingkat rendah yang

mengontrol dan memantau mesin virtual, sehingga setiap perangkat lunak

tradisional itu memiliki kelemahan keamanan. Menjaga VMM sesederhana dan

sekecil mungkin mengurangi risiko kerentanan keamanan, karena akan lebih

mudah untuk menemukan dan memperbaiki kerentanan apapun.

Selain itu, virtualisasi memperkenalkan kemampuan untuk bermigrasi

mesin virtual antara server fisik untuk toleransi kesalahan, load balancing atau

perawatan. Fitur ini berguna juga dapat menimbulkan masalah keamanan .

Seorang penyerang bisa kompromi modul migrasi VMM dan mentransfer mesin

virtual korban ke server berbahaya. Juga, jelas bahwa migrasi VM

memperlihatkan isi VM ke jaringan, yang dapat membahayakan integritas data

dan kerahasiaan. Sebuah mesin virtual berbahaya dapat bermigrasi ke host lain

(dengan VMM lain) mengorbankan itu.

c. Shared Resource

VMS terletak pada server yang sama dapat berbagi CPU, memori, I / O,

dan lain-lain. Berbagi sumber daya antara VMS dapat menurunkan keamanan

setiap VM. Misalnya, VM berbahaya dapat mengambil beberapa informasi

tentang VMS lain melalui memori bersama atau sumber daya bersama lainnya

tanpa perlu mengorbankan hypervisor. Menggunakan saluran rahasia, dua VMS


25/30

25

dapat berkomunikasi melewati semua aturan yang ditetapkan oleh modul

keamanan VMM. Dengan demikian, Virtual Machine berbahaya dapat memonitor

sumber daya bersama tanpa diketahui oleh VMM, sehingga penyerang dapat

mengambil beberapa informasi tentang mesin virtual lainnya.

d. Virtual networks

Komponen jaringan dibagi oleh penyewa berbeda karena sumber daya.

Seperti disebutkan sebelumnya, berbagi sumber daya memungkinkan penyerang

untuk memulai serangan lintas- tenant. Jaringan Virtual meningkatkan VMs

interkonektivitas, tantangan keamanan penting dalam Cloud Computing. Cara

yang paling aman adalah untuk menghubungkan setiap VM dengan host dengan

menggunakan kanal fisik khusus. Namun, sebagian besar hypervisors

menggunakan jaringan virtual untuk menghubungkan VM untuk berkomunikasi

lebih langsung dan efisien. Misalnya, sebagian besar platform virtualisasi

seperti Xen menyediakan dua cara untuk mengkonfigurasi jaringan virtual:

dijembatani dan disalurkan, namun teknik ini meningkatkan kemungkinan untuk

melakukan beberapa serangan seperti sniifing dan spoofing jaringan virtual.

C. Antisipasi dan Pengamanan

Keamanan penyimpanan data pada cloud computing memang

masih perlu banyak dilakukan penelitian. Namun, tidak ada salahnya untuk

mencoba melakukan antisipasi dan pengamanan tahap awal teknologi cloud

computing. Berikut antisipasi dan pengamanan menurut Oktariani.


26/30

26

1. Antisipasi ancaman keamanan data

Sebelum data benar-benar terancam keamanannya, dalam paper ISACA,

dijelaskan beberapa hal dari penyimpanan data pada cloud computing yang

perlu diperhatikan, yaitu :

a. Perlu usaha khusus dalam memilih penyedia jasa (provider) cloudcomputing. Reputasi, sejarah dan keberlanjutannya harus menjadi

faktor untuk dipertimbangkan. Keberlanjutan adalah penting untuk

memastikan bahwa layanan akan tersedia dan data dapat dilacak dalam

jangka waktu yang lama.

b. Provider cloud harus bertanggung jawab dalam hal penangananinformasi milik user, yang merupakan bagian penting dari bisnis.

Perlu diperhatikan ketika kegagalan backup atau retrieval informasi

terjadi, jangan sampai availability dari informasi dan kerahasiannya

dipertaruhkan.

c. Waktu delay yang mungkin terjadi ketika pengembalian informasisetelah crash atau insiden lainnya. Karena sifat dinamis dari cloud,

maka kinerja provider dalam melakukan backup, respon dan

pemulihan insiden harus benar-benar teruji.

d. Memastikan tersedianya perlindungan hak milik intelektual dankerahasiaan atas informasi yang kita simpan pada media penyimpanan

cloud.


27/30

27

2. Penanganan ancaman keamanan data

Berdasarkan beberapa scenario risiko yang dirangkum oleh George

Reese user cloud dapat menanganinya dengan:

a. Ketika provider penyedia jasa layanan cloud mengalami down.Melakukan off-sitebackup secara rutin. Off site backup ini dapat

dilakukan dengan menyewa provider cloud kedua di luar penyedia layanan

cloud yang digunakan. Sehingga jika terjadi sesuatu pada provider

penyedia jasa layanan cloud, data tetap dapat diselamatkan.

b. Adanya pihak ketiga yang menggugat keberadaan cloud dariprovider yang disewa. Melakukan enkripsi untuk data-data yang kita

simpan dan menyimpan kunci enkripsi di luar cloud. Sehingga, walaupun

server cloud disita, kerahasiaan data dapat tetap terjaga.

c. Provider gagal melakukan pengamanan jaringan. Hal penting yangharus dilakukan sebelum user menentukan provider cloud adalah

dengan memeriksa standar dan proses keamanan jaringan yang mereka

terapkan.

3. Enkripsi

Enkripsi merupakan teknik pengamanan data yang sudah digunakan

sebelum masa cloud computing dimulai. Kini, enkripsi menjadi salah satu cara

pengamanan data yang disimpan pada cloud computing terjaga dengan baik.

Algoritma one-time pad dapat digunakan untuk proses enkripsi pada


28/30

28

sistem cloud computing, dengan prinsip rancangan modifikasinya

adalah membagi plainteks menjadi cipherteks dan kunci, lalu

mendistribusikan kedua berkas tersebut secara acak di cloud. Pengguna atau

pemakai diberikan akses alamat kedua file tersebut. Algoritma AES juga

dapat dipakai di cloud computing karena daya keamanannya yang tinggi dan

efisien.

Lain halnya dengan Craig Gentry yang membuat desain fully

homomorphic encryption yang bukan hanya memiliki sifat homomorfis tapi

juga sangat aman. Namun, desain yang diajukan Gentry sangat tidak praktis.

Semakin tinggi tingkat keamanannya, semakin banyak jumlah sirkuit operasi

yang dibutuhkan untuk mengenkripsidata, dan waktu prosesnya bisa

membengkak.

4. Antivirus

Selain itu, ada baiknya user berlangganan antivirus cloud. Pengamanan

data tentu perlu diantisipasi oleh user dan provider. User dapat melakukan

pengamanan dari serangan virus dengan menggunakan service

antivirus yang disimpan pada cloud. Beberapa perusahaan antivirus telah

mengembangkan service antivirus untuk cloud, diantaranya Panda, Symantec

dan McAfee. Keunggulan antivirus cloud:

a. Menggunakan resource system pc yang lebih sedikit, karena prosesscanning dilakukan oleh cloud.

b. Bebas bandwidth. Proses updating antivirus sudah dilakukan oleh cloud.


29/30

29

c. Antivirus selalu up-to-date. Cloud selalu mengecek dan melakukanproses update secara berkala.

D. KESIMPULAN

Cloud computing merupakan model komputasi yang memiliki

beragam keuntungan. Namun dibalik itu, privacy data merupakan hal

penting dalam sebuah organisasi terutama pengguna Cloud Computing

yang harus memperhatikan aspek proteksi data yang disediakan oleh

provider. Jika provider mengalami down, data organisasi terancam

hilang, tidak dapat diakses, atau dapat direcovery namun tidak utuh. Hal

tersebut tentu saja dapat merugikan pihak user, karena itu saran untuk user

sebelum memilih provider penyedia layanan adalah :

1. Memastikan reputasi, sejarah dan keberlanjutan provider memilikipelayanan yang akan tersedia dan data dapat dilacak dalam jangka waktu

yang lama.

2. Meyakinkan penanganan dari provider dalam menghadapi kegagalanbackup atau retrieval informasi cukup terjamin.

3. Waktu delay yang mungkin terjadi ketika pengembalian informasisetelah crash atau insiden lainnya.

4. Memastikan tersedianya perlindungan hak milik intelektual dan rahasiadagang atas informasi yang kita simpan pada media penyimpanan cloud.

5. Kinerja provider dalam melakukan backup, respon dan pemulihaninsiden harus benar-benar teruji.


30/30

30

Namun ancaman tersebut dapat diantisipasi dengan melakukan beberapa

hal seperti berikut:

1 Memastikan telah memilih provider pengada layanan cloudcomputing yang memiliki

2 Standardisasi keamanan, recovery data, maupun backup rutin.3 Melakukan proses enkripsi data-data penting yang dimiliki dengan

menyimpan kunci dekripsinya di luar cloud.

4 Berlangganan service antivirus cloud.

bab i keamanan pada cloud computing

Documents