Cloud Computing

23
PAPER ANALISIS PERSOALAN KEAMANAN PADA CLOUD COMPUTING Oleh : Muhammad Imam Alqamar: 55757/2010 Nur Azizah : 1107001 Surya Dharma : 1102670 Program Studi : Pendidikan Teknik Informatika JURUSAN TEKNIK ELEKTRONIKA FAKULTAS TEKNIK UNIVERSITAS NEGERI PADANG

description

Cloud computing merupakan model komputasi yang memungkinkan usernya untuk menggunakan resource (networks, servers, storage, applications, dan services) yang ada dalam sebuah jaringan cloud (internet) sehingga dapat di share dan digunakan bersama. Secara ekonomis, penerapan cloudcomputing mampu menghemat pengeluaran karena, tidak perlu mengalokasikan untuk biaya hardware maupun software. Organisasi cukup menyewa sebuah layanan cloud computing pada penyedia layanan saja. Model pembayaran pun bisa berdasarkan pemakaian atau dengan berlangganan. Sehingga dengan penerapan teknologi cloud computing ini mampu menghemat pengeluaran organisasi.

Transcript of Cloud Computing

Page 1: Cloud Computing

PAPER

ANALISIS PERSOALAN KEAMANAN PADA CLOUD COMPUTING

Oleh :

Muhammad Imam Alqamar: 55757/2010

Nur Azizah : 1107001

Surya Dharma : 1102670

Program Studi : Pendidikan Teknik Informatika

JURUSAN TEKNIK ELEKTRONIKA

FAKULTAS TEKNIK

UNIVERSITAS NEGERI PADANG

2013

Page 2: Cloud Computing

A. Pendahuluan

Cloud computing merupakan model komputasi yang memungkinkan usernya untuk menggunakan

resource (networks, servers, storage, applications, dan services) yang ada dalam sebuah jaringan

cloud (internet) sehingga dapat di share dan digunakan bersama. Secara ekonomis, penerapan

cloudcomputing mampu menghemat pengeluaran karena, tidak perlu mengalokasikan untuk biaya

hardware maupun software. Organisasi cukup menyewa sebuah layanan cloud computing pada

penyedia layanan saja. Model pembayaran pun bisa berdasarkan pemakaian atau dengan

berlangganan. Sehingga dengan penerapan teknologi cloud computing ini mampu menghemat

pengeluaran organisasi.

Adapun model pelayanan dari cloud computing menurut National Institute of Standards and

Technology (NIST) sebagai berikut :

1. Software as a Service (SaaS)

SaaS adalah layanan dari Cloud Computing dimana pelanggan dapat menggunakan software

(perangkat lunak) yang telah disediakan oleh cloud provider. Pelanggan cukup tahu bahwa

perangkat lunak bisa berjalan dan bisa digunakan dengan baik.

Gambar 1. Software as a Service (SaaS)

Contoh dari layanan SaaS ini antara lain adalah:

a. Layanan produktivitas: Office365, GoogleDocs, Adobe Creative Cloud, dsb.

b. Layanan email: Gmail, YahooMail, LiveMail, dsb.

c. Layanan social network: Facebook, Twitter, Tagged, dsb.

d. Layanan instant messaging: YahooMessenger, Skype, GTalk, dsb.

Page 3: Cloud Computing

Keuntungan dari SaaS ini adalah kita tidak perlu membeli lisensi software lagi. Kita tinggal

berlangganan ke cloud provider dan tinggal membayar berdasarkan pemakaian.

2. Platform as a Service (PaaS)

PaaS adalah layanan dari Cloud Computing kita bisa menyewa “rumah” berikut lingkungannya,

untuk menjalankan aplikasi yang telah dibuat. Pelanggan tidak perlu pusing untuk menyiapkan

“rumah” dan memelihara “rumah” tersebut. Yang penting aplikasi yang dibuat dapat berjalan

dengan baik.

Pemeliharaan “rumah” ini (sistem operasi, network, database engine, framework aplikasi, dll)

menjadi tanggung jawab dari penyedia layanan. Sebagai analogi, misalkan ingin menyewa

kamar hotel, kita tinggal tidur di kamar yang sudah disewa, tanpa peduli bagaimana

“perawatan” dari kamar dan lingkungan kamar. Yang terpenting adalah, suasananya nyaman

untuk digunakan. Jika suatu saat dibuat tidak nyaman, maka pelanggan dapat pindah ke hotel

lain yang lebih bagus layanannya.

Gambar 2. Platform as a Service (PaaS)

Contoh penyedia layanan PaaS: Amazon Web Service, Windows Azure, dan GoogleApp

Engine.

Keuntungan dari PaaS bagi pengembang dapat fokus pada aplikasi yang sedang dikembangkan

tanpa harus memikirkan “rumah” untuk aplikasi, dikarenakan ahl tersebut sudah menjadi

tanggung jawab cloud provider.

Page 4: Cloud Computing

3. Infrastructure as a Service (IaaS)

IaaS adalah layanan dari Cloud Computing sewaktu kita bisa menyewa” infrastruktur IT ( unit

komputasi, storage, memory, network, dsb). Dapat didefinisikan berapa besar unit komputasi

(CPU), penyimpanan data (storage), memory (RAM), bandwidth, dan konfigurasi lainnya yang

akan di sewa. Untuk lebih mudahnya, layanan IaaS ini adalah seperti menyewa komputer yang

masih kosong. Kita sendiri yang mengkonfigurasi komputer ini untuk digunakan sesuai dengan

kebutuhan kita dan bisa kita install sistem operasi dan aplikasi apapun diatasnya.

Gambar 3. Infrastructure as a Service (IaaS)

Contoh penyedia layanan IaaS : Amazon EC2, Rackspace Cloud, Windows Azure, dsb.

Keuntungan dari IaaS ini adalah kita tidak perlu membeli komputer fisik, dan konfigurasi

komputer virtual tersebut dapat diubah (scale up/scale down) dengan mudah. Sebagai contoh, saat

komputer virtual tersebut sudah kelebihan beban, kita bisa tambahkan CPU, RAM, Storage, dsb.

dengan segera.

Gambar 4. On Premise model dan Cloud Model

Disamping kelebihan dari cloud computing ini juga dimbangi dengan adanya beberapa kelemahan,

terutama dalam segi keamanan. Dasar dari cloud computing yang share resource mengakibatkan

Page 5: Cloud Computing

keamanan dari resources terutama dalam hal keamanan data pribadi pada model SPI rawan di

bobol.

Dalam Presentasi yang dilakukan oleh Security Issues in Cloud Computing, Saurabh K Prashar

menyatakan bahwa masalah security merupakan masalah utama yang timbul dengan adanya

teknologi Cloud Computing. Dengan adanya teknologi ini, keamanan data dari setiap user tidak

dapat terjamin, karena setiap data dan informasi yang dimiliki terdapat di Cloud atau di internet

tepatnya. Hal ini menjadi isu utama dari teknologi Cloud Computing.

Gambar 5. Perbandingan Permasalahan dalam Teknologi Cloud Computing

B. Keamanan pada SPI Model

Adapun kemanan pada cloud computing dapat di lihat dari sudut pandang SPI ( SaaS, PaaS, dan

IaaS) Model.

1. Persoalan Keamanan Pada Software as a Service

Pada model SaaS, Hashizume membagi persoalan keamanan menjadi beberapa bagian yaitu

Application security, Multi-tenancy, Data Security dan Accesibility.

Page 6: Cloud Computing

a. Application security

Dalam cloud computing, aplikasi biasanya dilewatkan melalui jaringan internet yaitu dengan

memanfatkan web browser. Namun kelemahannya dapat menciptakan kerentanan untuk

aplikasi SaaS. Penyerang telah menggunakan web melakukan kegiatan berbahaya seperti

mencuri data sensitif. Tantangan keamanan dalam aplikasi SaaS tidak berbeda dari teknologi

aplikasi web, tetapi solusi keamanan tradisional tidak efektif melindungi dari serangan,

sehingga pendekatan baru diperlukan. Open Web Application Security Project (OWASP)

telah mengidentifikasi sepuluh ancaman keamanan web aplikasi yang paling penting.

Gambar 6. Ancaman SaaS

b. Multi-tenancy

Model multi tenancy ini memungkinkan satu aplikasi bisa di pakai bersama. Penggunaan

model ini memungkinkan lebih efisiennya penggunaan sumber daya tapi skalabilitas terbatas.

Karena data dari beberapa penyewa kemungkinan akan disimpan dalam database yang sama,

risiko kebocoran data antara penyewa tersebut cukup tinggi. Kebijakan keamanan diperlukan

untuk memastikan bahwa data pelanggan yang disimpan terpisah dari pelanggan lain. Untuk

model akhir, aplikasi dapat ditingkatkan dengan memindahkan aplikasi ke server yang lebih

kuat jika diperlukan.

Page 7: Cloud Computing

c. Data Security

Dalam SaaS, organisasi data sering diolah dalam plaintext dan disimpan di cloud. Penyedia

SaaS adalah yang bertanggung jawab atas keamanan data baik itu diproses dan disimpan.

Juga, backup data merupakan aspek penting dalam rangka untuk memfasilitasi pemulihan

apabila terjadi bencana. Penyedia clood bisa mengkontrak layanan lainnya seperti backup

dari penyedia layanan pihak ketiga, dan hal tersebut bisa menimbulkan kekhawatiran dalam

hal keamanan data. Harus ada regulasi dengan pihak ketiga dalam hal ini.

d. Access Security

Mengakses aplikasi melalui internet dengan web browser membuat akses dari setiap

perangkat jaringan lebih mudah, termasuk komputer publik dan perangkat mobile. Namun,

hal ini akan menambah resiko keamanan seperti malware.

2. Persoalan keamanan pada Platform-as-a-service (PaaS)

Persoalaan keamanan pada Platform-as-a-service terdiri dari 2 bagian yaitu Keamanan dari

platform PaaS sendiri (yaitu, mesin runtime), dan Keamanan aplikasi yang berjalan pada

platform PaaS. Penyedia PaaS bertanggung jawab untuk mengamankan platform perangkat

lunak yang mencakup mesin runtime yang menjalankan aplikasi pelanggan. Sama seperti SaaS,

PaaS juga membawa masalah keamanan data dan tantangan. Secara gairs besar baik dari sisi

mesin runtime maupun aplikasi yang berjalan diatasnya, Hashizume mebagi persoalan

keamanan layanan ini menjadi 3 bagian yaitu Third-party relationships, Development Life

Cycle, dan Underlying infrastructure security.

Page 8: Cloud Computing

a. Third-party relationships

Dalam hal ini, PaaS tidak hanya menyediakan bahasa pemrograman tradisional, dan

menawarkan pihak ketiga komponen web layanan seperti mashup. Mashup menggabungkan

lebih dari satu elemen sumber ke dalam sebuah unit tunggal yang terintegrasi. Dengan

demikian, model PaaS juga mewarisi masalah keamanan yang berkaitan dengan mashup

seperti keamanan data dan jaringan. Selain itu, pengguna PaaS harus bergantung pada kedua

keamanan alat pengembangan web-host dan layanan pihak ketiga.

Gambar 7. Mushup

Page 9: Cloud Computing

b. Development Life Cycle

Dari perspektif pengembangan aplikasi, pengembang menghadapi kompleksitas membangun

aplikasi yang aman yang dapat diselenggarakan dalam cloud. Kecepatan di mana aplikasi

akan berubah dalam cloud akan mempengaruhi baik System Development Life Cycle

(SDLC) dan keamanan. Pengembang harus ingat bahwa aplikasi PaaS harus sering

ditingkatkan, sehingga mereka harus memastikan bahwa proses pengembangan aplikasi

mereka cukup fleksibel untuk mengikuti perubahan. Namun, pengembang juga harus

memahami bahwa setiap perubahan komponen PaaS dapat mengganggu keamanan aplikasi

mereka.

Gambar 8. System Development Life Cycle

c. Underlying infrastructure security

Pada PaaS, pengembang biasanya tidak memiliki akses ke lapisan yang mendasar,

sehingga penyedia bertanggung jawab untuk mengamankan infrastruktur dasar serta

aplikasi layanan. Bahkan ketika pengembang berada dalam kendali keamanan aplikasi

mereka, mereka tidak memiliki kepastian bahwa alat lingkungan pengembangan yang

disediakan oleh penyedia PaaS aman.

Sebagai kesimpulan, ada materi yang kurang dalam literatur tentang masalah keamanan

di PaaS. SaaS menyediakan perangkat lunak yang dikirimkan melalui web sementara

PaaS menawarkan alat pengembangan untuk membuat aplikasi SaaS. Namun, keduanya

Page 10: Cloud Computing

dapat menggunakan arsitektur multi-penyewa sehingga beberapa pengguna secara

bersamaan menggunakan perangkat lunak yang sama. Juga, aplikasi PaaS dan data

pengguna juga disimpan dalam server cloud yang dapat menjadi masalah keamanan

seperti yang dibahas pada bagian sebelumnya. Dalam kedua SaaS dan PaaS, data yang

terkait dengan aplikasi yang berjalan di cloud. Keamanan data ini ketika sedang

diproses, dipindahkan, dan disimpan tergantung pada penyedia.

3. Persoalan Kemanan Infrastructure-as-a-service (IaaS)

IaaS menyediakan sumber daya seperti server, storage, jaringan, dan sumber daya komputasi

lain dalam bentuk sistem virtual, yang diakses melalui Internet. Pengguna berhak untuk

menjalankan perangkat lunak dengan kontrol penuh dan manajemen pada sumber daya yang

dialokasikan kepada mereka. Dengan IaaS, pengguna cloud memiliki kontrol yang lebih baik

atas keamanan dibandingkan dengan model lain selama tidak ada lubang keamanan di monitor

mesin virtual. Mereka mengendalikan perangkat lunak yang berjalan di mesin virtual mereka,

dan mereka bertanggung jawab untuk mengkonfigurasi kebijakan keamanan dengan benar.

Namun, yang mendasari komputasi, jaringan, dan infrastruktur penyimpanan dikendalikan oleh

penyedia cloud. Penyedia IaaS harus melakukan upaya besar untuk mengamankan sistem

mereka dalam rangka untuk meminimalkan ancaman yang dihasilkan dari penciptaan,

komunikasi, pemantauan, modifikasi, dan mobilitas. Berikut adalah beberapa masalah

keamanan yang terkait dengan IaaS.

a. Virtualisasi

Virtualisasi memungkinkan pengguna untuk membuat, menyalin, berbagi, bermigrasi, dan

memutar kembali mesin virtual, yang dapat memungkinkan mereka untuk menjalankan

berbagai aplikasi. Namun, juga memperkenalkan peluang baru bagi penyerang karena

lapisan tambahan yang harus dijamin. Keamanan mesin virtual menjadi sama pentingnya

dengan keamanan mesin fisik, dan setiap cacat dalam salah satu dapat mempengaruhi yang

lain. Lingkungan virtualisasi yang rentan terhadap semua jenis serangan untuk infrastruktur

normal, namun, keamanan merupakan tantangan besar karena virtualisasi menambah poin

lebih banyak masuk dan kompleksitas interkoneksi. Tidak seperti server fisik, VM memiliki

dua batas: fisik dan virtual.

Page 11: Cloud Computing

b. Monitor mesin virtual

Virtual Machine Monitor (VMM) atau hypervisor bertanggung jawab untuk mesin virtual

isolasi, sehingga jika VMM terganggu, mesin virtual dapat berpotensi terganggu juga. VMM

adalah perangkat lunak tingkat rendah yang mengontrol dan memantau mesin virtual,

sehingga setiap perangkat lunak tradisional itu memiliki kelemahan keamanan. Menjaga

VMM sesederhana dan sekecil mungkin mengurangi risiko kerentanan keamanan, karena

akan lebih mudah untuk menemukan dan memperbaiki kerentanan apapun.

Selain itu, virtualisasi memperkenalkan kemampuan untuk bermigrasi mesin virtual antara

server fisik untuk toleransi kesalahan, load balancing atau perawatan. Fitur ini berguna juga

dapat menimbulkan masalah keamanan . Seorang penyerang bisa kompromi modul migrasi

VMM dan mentransfer mesin virtual korban ke server berbahaya. Juga, jelas bahwa migrasi

VM memperlihatkan isi VM ke jaringan, yang dapat membahayakan integritas data dan

kerahasiaan. Sebuah mesin virtual berbahaya dapat bermigrasi ke host lain (dengan VMM

lain) mengorbankan itu.

c. Shared Resource

VMS terletak pada server yang sama dapat berbagi CPU, memori, I / O, dan lain-lain.

Berbagi sumber daya antara VMS dapat menurunkan keamanan setiap VM. Misalnya, VM

berbahaya dapat mengambil beberapa informasi tentang VMS lain melalui memori bersama

atau sumber daya bersama lainnya tanpa perlu mengorbankan hypervisor. Menggunakan

saluran rahasia, dua VMS dapat berkomunikasi melewati semua aturan yang ditetapkan oleh

modul keamanan VMM. Dengan demikian, Virtual Machine berbahaya dapat memonitor

sumber daya bersama tanpa diketahui oleh VMM, sehingga penyerang dapat mengambil

beberapa informasi tentang mesin virtual lainnya.

Page 12: Cloud Computing

d. Virtual networks

Komponen jaringan dibagi oleh penyewa berbeda karena sumber daya. Seperti disebutkan

sebelumnya, berbagi sumber daya memungkinkan penyerang untuk memulai serangan lintas-

tenant. Jaringan Virtual meningkatkan VMs interkonektivitas, tantangan keamanan penting

dalam Cloud Computing. Cara yang paling aman adalah untuk menghubungkan setiap VM

dengan host dengan menggunakan kanal fisik khusus. Namun, sebagian besar hypervisors

menggunakan jaringan virtual untuk menghubungkan VM untuk berkomunikasi lebih

langsung dan efisien. Misalnya, sebagian besar platform virtualisasi seperti Xen

menyediakan dua cara untuk mengkonfigurasi jaringan virtual: dijembatani dan disalurkan,

namun teknik ini meningkatkan kemungkinan untuk melakukan beberapa serangan seperti

sniifing dan spoofing jaringan virtual.

C. Antisipasi dan Pengamanan

Keamanan penyimpanan data pada cloud computing memang masih perlu banyak

dilakukan penelitian. Namun, tidak ada salahnya untuk mencoba melakukan antisipasi dan

pengamanan tahap awal teknologi cloud computing. Berikut antisipasi dan pengamanan menurut

Oktariani.

1. Antisipasi ancaman keamanan data

Sebelum data benar-benar terancam keamanannya, dalam paper ISACA, dijelaskan beberapa

hal dari penyimpanan data pada cloud computing yang perlu diperhatikan, yaitu :

a. Perlu usaha khusus dalam memilih penyedia jasa (provider) cloud computing.

Reputasi, sejarah dan keberlanjutannya harus menjadi faktor untuk dipertimbangkan.

Keberlanjutan adalah penting untuk memastikan bahwa layanan akan tersedia dan data

dapat dilacak dalam jangka waktu yang lama.

b. Provider cloud harus bertanggung jawab dalam hal penanganan informasi milik user,

yang merupakan bagian penting dari bisnis. Perlu diperhatikan ketika kegagalan

backup atau retrieval informasi terjadi, jangan sampai availability dari informasi dan

kerahasiannya dipertaruhkan.

Page 13: Cloud Computing

c. Waktu delay yang mungkin terjadi ketika pengembalian informasi setelah crash atau

insiden lainnya. Karena sifat dinamis dari cloud, maka kinerja provider dalam

melakukan backup, respon dan pemulihan insiden harus benar-benar teruji.

d. Memastikan tersedianya perlindungan hak milik intelektual dan kerahasiaan atas

informasi yang kita simpan pada media penyimpanan cloud.

2. Penanganan ancaman keamanan data

Berdasarkan beberapa scenario risiko yang dirangkum oleh George Reese user cloud dapat

menanganinya dengan:

a. Ketika provider penyedia jasa layanan cloud mengalami down.

Melakukan off-sitebackup secara rutin. Off site backup ini dapat dilakukan dengan

menyewa provider cloud kedua di luar penyedia layanan cloud yang digunakan. Sehingga

jika terjadi sesuatu pada provider penyedia jasa layanan cloud, data tetap dapat

diselamatkan.

b. Adanya pihak ketiga yang menggugat keberadaan cloud dari provider yang

disewa.

Melakukan enkripsi untuk data-data yang kita simpan dan menyimpan kunci enkripsi di luar

cloud. Sehingga, walaupun server cloud disita, kerahasiaan data dapat tetap terjaga.

c. Provider gagal melakukan pengamanan jaringan.

Hal penting yang harus dilakukan sebelum user menentukan provider cloud adalah

dengan memeriksa standar dan proses keamanan jaringan yang mereka terapkan.

3. Enkripsi

Enkripsi merupakan teknik pengamanan data yang sudah digunakan sebelum masa cloud

computing dimulai. Kini, enkripsi menjadi salah satu cara pengamanan data yang disimpan

pada cloud computing terjaga dengan baik. Algoritma one-time pad dapat digunakan untuk

proses enkripsi pada sistem cloud computing, dengan prinsip rancangan

modifikasinya adalah membagi plainteks menjadi cipherteks dan kunci, lalu

mendistribusikan kedua berkas tersebut secara acak di cloud. Pengguna atau pemakai

Page 14: Cloud Computing

diberikan akses alamat kedua file tersebut. Algoritma AES juga dapat dipakai di cloud

computing karena daya keamanannya yang tinggi dan efisien.

Lain halnya dengan Craig Gentry yang membuat desain fully homomorphic encryption

yang bukan hanya memiliki sifat homomorfis tapi juga sangat aman. Namun, desain yang

diajukan Gentry sangat tidak praktis. Semakin tinggi tingkat keamanannya, semakin banyak

jumlah sirkuit operasi yang dibutuhkan untuk mengenkripsidata, dan waktu prosesnya bisa

membengkak.

4. Antivirus

Selain itu, ada baiknya user berlangganan antivirus cloud. Pengamanan data tentu perlu

diantisipasi oleh user dan provider. User dapat melakukan pengamanan dari serangan

virus dengan menggunakan service antivirus yang disimpan pada cloud. Beberapa

perusahaan antivirus telah mengembangkan service antivirus untuk cloud, diantaranya

Panda, Symantec dan McAfee. Keunggulan antivirus cloud:

a. Menggunakan resource system pc yang lebih sedikit, karena proses scanning dilakukan

oleh cloud.

b. Bebas bandwidth. Proses updating antivirus sudah dilakukan oleh cloud.

c. Antivirus selalu up-to-date. Cloud selalu mengecek dan melakukan proses update

secara berkala.

Page 15: Cloud Computing

D. KESIMPULAN

Cloud computing merupakan model komputasi yang memiliki beragam keuntungan. Namun

dibalik itu, privacy data merupakan hal penting dalam sebuah organisasi terutama

pengguna Cloud Computing yang harus memperhatikan aspek proteksi data yang

disediakan oleh provider. Jika provider mengalami down, data organisasi terancam

hilang, tidak dapat diakses, atau dapat direcovery namun tidak utuh. Hal tersebut tentu

saja dapat merugikan pihak user, karena itu saran untuk user sebelum memilih provider

penyedia layanan adalah :

1. Memastikan reputasi, sejarah dan keberlanjutan provider memiliki

pelayanan yang akan tersedia dan data dapat dilacak dalam jangka waktu yang lama.

2. Meyakinkan penanganan dari provider dalam menghadapi kegagalan backup atau

retrieval informasi cukup terjamin.

3. Waktu delay yang mungkin terjadi ketika pengembalian informasi setelah crash

atau insiden lainnya.

4. Memastikan tersedianya perlindungan hak milik intelektual dan rahasia dagang

atas informasi yang kita simpan pada media penyimpanan cloud.

5. Kinerja provider dalam melakukan backup, respon dan pemulihan insiden harus

benar-benar teruji.

Namun ancaman tersebut dapat diantisipasi dengan melakukan beberapa hal seperti berikut:

1. Memastikan telah memilih provider pengada layanan cloud computing yang

memiliki

2. standardisasi keamanan, recovery data, maupun backup rutin.

3. Melakukan proses enkripsi data-data penting yang dimiliki dengan menyimpan

kunci dekripsinya di luar cloud.

4. Berlangganan service antivirus cloud.

Page 16: Cloud Computing

REFERENSI

Hasizume et.all. An Analysis of security issues for cloud computing. 2013.

Oktariani Nurul Pratiwi. Analisis Keamanan Aplikasi Penyimpanan Data Pada Sistem Cloud

Computing. Juni 2011.