Cloud Computing
-
Upload
surya-dharma -
Category
Documents
-
view
80 -
download
3
description
Transcript of Cloud Computing
PAPER
ANALISIS PERSOALAN KEAMANAN PADA CLOUD COMPUTING
Oleh :
Muhammad Imam Alqamar: 55757/2010
Nur Azizah : 1107001
Surya Dharma : 1102670
Program Studi : Pendidikan Teknik Informatika
JURUSAN TEKNIK ELEKTRONIKA
FAKULTAS TEKNIK
UNIVERSITAS NEGERI PADANG
2013
A. Pendahuluan
Cloud computing merupakan model komputasi yang memungkinkan usernya untuk menggunakan
resource (networks, servers, storage, applications, dan services) yang ada dalam sebuah jaringan
cloud (internet) sehingga dapat di share dan digunakan bersama. Secara ekonomis, penerapan
cloudcomputing mampu menghemat pengeluaran karena, tidak perlu mengalokasikan untuk biaya
hardware maupun software. Organisasi cukup menyewa sebuah layanan cloud computing pada
penyedia layanan saja. Model pembayaran pun bisa berdasarkan pemakaian atau dengan
berlangganan. Sehingga dengan penerapan teknologi cloud computing ini mampu menghemat
pengeluaran organisasi.
Adapun model pelayanan dari cloud computing menurut National Institute of Standards and
Technology (NIST) sebagai berikut :
1. Software as a Service (SaaS)
SaaS adalah layanan dari Cloud Computing dimana pelanggan dapat menggunakan software
(perangkat lunak) yang telah disediakan oleh cloud provider. Pelanggan cukup tahu bahwa
perangkat lunak bisa berjalan dan bisa digunakan dengan baik.
Gambar 1. Software as a Service (SaaS)
Contoh dari layanan SaaS ini antara lain adalah:
a. Layanan produktivitas: Office365, GoogleDocs, Adobe Creative Cloud, dsb.
b. Layanan email: Gmail, YahooMail, LiveMail, dsb.
c. Layanan social network: Facebook, Twitter, Tagged, dsb.
d. Layanan instant messaging: YahooMessenger, Skype, GTalk, dsb.
Keuntungan dari SaaS ini adalah kita tidak perlu membeli lisensi software lagi. Kita tinggal
berlangganan ke cloud provider dan tinggal membayar berdasarkan pemakaian.
2. Platform as a Service (PaaS)
PaaS adalah layanan dari Cloud Computing kita bisa menyewa “rumah” berikut lingkungannya,
untuk menjalankan aplikasi yang telah dibuat. Pelanggan tidak perlu pusing untuk menyiapkan
“rumah” dan memelihara “rumah” tersebut. Yang penting aplikasi yang dibuat dapat berjalan
dengan baik.
Pemeliharaan “rumah” ini (sistem operasi, network, database engine, framework aplikasi, dll)
menjadi tanggung jawab dari penyedia layanan. Sebagai analogi, misalkan ingin menyewa
kamar hotel, kita tinggal tidur di kamar yang sudah disewa, tanpa peduli bagaimana
“perawatan” dari kamar dan lingkungan kamar. Yang terpenting adalah, suasananya nyaman
untuk digunakan. Jika suatu saat dibuat tidak nyaman, maka pelanggan dapat pindah ke hotel
lain yang lebih bagus layanannya.
Gambar 2. Platform as a Service (PaaS)
Contoh penyedia layanan PaaS: Amazon Web Service, Windows Azure, dan GoogleApp
Engine.
Keuntungan dari PaaS bagi pengembang dapat fokus pada aplikasi yang sedang dikembangkan
tanpa harus memikirkan “rumah” untuk aplikasi, dikarenakan ahl tersebut sudah menjadi
tanggung jawab cloud provider.
3. Infrastructure as a Service (IaaS)
IaaS adalah layanan dari Cloud Computing sewaktu kita bisa menyewa” infrastruktur IT ( unit
komputasi, storage, memory, network, dsb). Dapat didefinisikan berapa besar unit komputasi
(CPU), penyimpanan data (storage), memory (RAM), bandwidth, dan konfigurasi lainnya yang
akan di sewa. Untuk lebih mudahnya, layanan IaaS ini adalah seperti menyewa komputer yang
masih kosong. Kita sendiri yang mengkonfigurasi komputer ini untuk digunakan sesuai dengan
kebutuhan kita dan bisa kita install sistem operasi dan aplikasi apapun diatasnya.
Gambar 3. Infrastructure as a Service (IaaS)
Contoh penyedia layanan IaaS : Amazon EC2, Rackspace Cloud, Windows Azure, dsb.
Keuntungan dari IaaS ini adalah kita tidak perlu membeli komputer fisik, dan konfigurasi
komputer virtual tersebut dapat diubah (scale up/scale down) dengan mudah. Sebagai contoh, saat
komputer virtual tersebut sudah kelebihan beban, kita bisa tambahkan CPU, RAM, Storage, dsb.
dengan segera.
Gambar 4. On Premise model dan Cloud Model
Disamping kelebihan dari cloud computing ini juga dimbangi dengan adanya beberapa kelemahan,
terutama dalam segi keamanan. Dasar dari cloud computing yang share resource mengakibatkan
keamanan dari resources terutama dalam hal keamanan data pribadi pada model SPI rawan di
bobol.
Dalam Presentasi yang dilakukan oleh Security Issues in Cloud Computing, Saurabh K Prashar
menyatakan bahwa masalah security merupakan masalah utama yang timbul dengan adanya
teknologi Cloud Computing. Dengan adanya teknologi ini, keamanan data dari setiap user tidak
dapat terjamin, karena setiap data dan informasi yang dimiliki terdapat di Cloud atau di internet
tepatnya. Hal ini menjadi isu utama dari teknologi Cloud Computing.
Gambar 5. Perbandingan Permasalahan dalam Teknologi Cloud Computing
B. Keamanan pada SPI Model
Adapun kemanan pada cloud computing dapat di lihat dari sudut pandang SPI ( SaaS, PaaS, dan
IaaS) Model.
1. Persoalan Keamanan Pada Software as a Service
Pada model SaaS, Hashizume membagi persoalan keamanan menjadi beberapa bagian yaitu
Application security, Multi-tenancy, Data Security dan Accesibility.
a. Application security
Dalam cloud computing, aplikasi biasanya dilewatkan melalui jaringan internet yaitu dengan
memanfatkan web browser. Namun kelemahannya dapat menciptakan kerentanan untuk
aplikasi SaaS. Penyerang telah menggunakan web melakukan kegiatan berbahaya seperti
mencuri data sensitif. Tantangan keamanan dalam aplikasi SaaS tidak berbeda dari teknologi
aplikasi web, tetapi solusi keamanan tradisional tidak efektif melindungi dari serangan,
sehingga pendekatan baru diperlukan. Open Web Application Security Project (OWASP)
telah mengidentifikasi sepuluh ancaman keamanan web aplikasi yang paling penting.
Gambar 6. Ancaman SaaS
b. Multi-tenancy
Model multi tenancy ini memungkinkan satu aplikasi bisa di pakai bersama. Penggunaan
model ini memungkinkan lebih efisiennya penggunaan sumber daya tapi skalabilitas terbatas.
Karena data dari beberapa penyewa kemungkinan akan disimpan dalam database yang sama,
risiko kebocoran data antara penyewa tersebut cukup tinggi. Kebijakan keamanan diperlukan
untuk memastikan bahwa data pelanggan yang disimpan terpisah dari pelanggan lain. Untuk
model akhir, aplikasi dapat ditingkatkan dengan memindahkan aplikasi ke server yang lebih
kuat jika diperlukan.
c. Data Security
Dalam SaaS, organisasi data sering diolah dalam plaintext dan disimpan di cloud. Penyedia
SaaS adalah yang bertanggung jawab atas keamanan data baik itu diproses dan disimpan.
Juga, backup data merupakan aspek penting dalam rangka untuk memfasilitasi pemulihan
apabila terjadi bencana. Penyedia clood bisa mengkontrak layanan lainnya seperti backup
dari penyedia layanan pihak ketiga, dan hal tersebut bisa menimbulkan kekhawatiran dalam
hal keamanan data. Harus ada regulasi dengan pihak ketiga dalam hal ini.
d. Access Security
Mengakses aplikasi melalui internet dengan web browser membuat akses dari setiap
perangkat jaringan lebih mudah, termasuk komputer publik dan perangkat mobile. Namun,
hal ini akan menambah resiko keamanan seperti malware.
2. Persoalan keamanan pada Platform-as-a-service (PaaS)
Persoalaan keamanan pada Platform-as-a-service terdiri dari 2 bagian yaitu Keamanan dari
platform PaaS sendiri (yaitu, mesin runtime), dan Keamanan aplikasi yang berjalan pada
platform PaaS. Penyedia PaaS bertanggung jawab untuk mengamankan platform perangkat
lunak yang mencakup mesin runtime yang menjalankan aplikasi pelanggan. Sama seperti SaaS,
PaaS juga membawa masalah keamanan data dan tantangan. Secara gairs besar baik dari sisi
mesin runtime maupun aplikasi yang berjalan diatasnya, Hashizume mebagi persoalan
keamanan layanan ini menjadi 3 bagian yaitu Third-party relationships, Development Life
Cycle, dan Underlying infrastructure security.
a. Third-party relationships
Dalam hal ini, PaaS tidak hanya menyediakan bahasa pemrograman tradisional, dan
menawarkan pihak ketiga komponen web layanan seperti mashup. Mashup menggabungkan
lebih dari satu elemen sumber ke dalam sebuah unit tunggal yang terintegrasi. Dengan
demikian, model PaaS juga mewarisi masalah keamanan yang berkaitan dengan mashup
seperti keamanan data dan jaringan. Selain itu, pengguna PaaS harus bergantung pada kedua
keamanan alat pengembangan web-host dan layanan pihak ketiga.
Gambar 7. Mushup
b. Development Life Cycle
Dari perspektif pengembangan aplikasi, pengembang menghadapi kompleksitas membangun
aplikasi yang aman yang dapat diselenggarakan dalam cloud. Kecepatan di mana aplikasi
akan berubah dalam cloud akan mempengaruhi baik System Development Life Cycle
(SDLC) dan keamanan. Pengembang harus ingat bahwa aplikasi PaaS harus sering
ditingkatkan, sehingga mereka harus memastikan bahwa proses pengembangan aplikasi
mereka cukup fleksibel untuk mengikuti perubahan. Namun, pengembang juga harus
memahami bahwa setiap perubahan komponen PaaS dapat mengganggu keamanan aplikasi
mereka.
Gambar 8. System Development Life Cycle
c. Underlying infrastructure security
Pada PaaS, pengembang biasanya tidak memiliki akses ke lapisan yang mendasar,
sehingga penyedia bertanggung jawab untuk mengamankan infrastruktur dasar serta
aplikasi layanan. Bahkan ketika pengembang berada dalam kendali keamanan aplikasi
mereka, mereka tidak memiliki kepastian bahwa alat lingkungan pengembangan yang
disediakan oleh penyedia PaaS aman.
Sebagai kesimpulan, ada materi yang kurang dalam literatur tentang masalah keamanan
di PaaS. SaaS menyediakan perangkat lunak yang dikirimkan melalui web sementara
PaaS menawarkan alat pengembangan untuk membuat aplikasi SaaS. Namun, keduanya
dapat menggunakan arsitektur multi-penyewa sehingga beberapa pengguna secara
bersamaan menggunakan perangkat lunak yang sama. Juga, aplikasi PaaS dan data
pengguna juga disimpan dalam server cloud yang dapat menjadi masalah keamanan
seperti yang dibahas pada bagian sebelumnya. Dalam kedua SaaS dan PaaS, data yang
terkait dengan aplikasi yang berjalan di cloud. Keamanan data ini ketika sedang
diproses, dipindahkan, dan disimpan tergantung pada penyedia.
3. Persoalan Kemanan Infrastructure-as-a-service (IaaS)
IaaS menyediakan sumber daya seperti server, storage, jaringan, dan sumber daya komputasi
lain dalam bentuk sistem virtual, yang diakses melalui Internet. Pengguna berhak untuk
menjalankan perangkat lunak dengan kontrol penuh dan manajemen pada sumber daya yang
dialokasikan kepada mereka. Dengan IaaS, pengguna cloud memiliki kontrol yang lebih baik
atas keamanan dibandingkan dengan model lain selama tidak ada lubang keamanan di monitor
mesin virtual. Mereka mengendalikan perangkat lunak yang berjalan di mesin virtual mereka,
dan mereka bertanggung jawab untuk mengkonfigurasi kebijakan keamanan dengan benar.
Namun, yang mendasari komputasi, jaringan, dan infrastruktur penyimpanan dikendalikan oleh
penyedia cloud. Penyedia IaaS harus melakukan upaya besar untuk mengamankan sistem
mereka dalam rangka untuk meminimalkan ancaman yang dihasilkan dari penciptaan,
komunikasi, pemantauan, modifikasi, dan mobilitas. Berikut adalah beberapa masalah
keamanan yang terkait dengan IaaS.
a. Virtualisasi
Virtualisasi memungkinkan pengguna untuk membuat, menyalin, berbagi, bermigrasi, dan
memutar kembali mesin virtual, yang dapat memungkinkan mereka untuk menjalankan
berbagai aplikasi. Namun, juga memperkenalkan peluang baru bagi penyerang karena
lapisan tambahan yang harus dijamin. Keamanan mesin virtual menjadi sama pentingnya
dengan keamanan mesin fisik, dan setiap cacat dalam salah satu dapat mempengaruhi yang
lain. Lingkungan virtualisasi yang rentan terhadap semua jenis serangan untuk infrastruktur
normal, namun, keamanan merupakan tantangan besar karena virtualisasi menambah poin
lebih banyak masuk dan kompleksitas interkoneksi. Tidak seperti server fisik, VM memiliki
dua batas: fisik dan virtual.
b. Monitor mesin virtual
Virtual Machine Monitor (VMM) atau hypervisor bertanggung jawab untuk mesin virtual
isolasi, sehingga jika VMM terganggu, mesin virtual dapat berpotensi terganggu juga. VMM
adalah perangkat lunak tingkat rendah yang mengontrol dan memantau mesin virtual,
sehingga setiap perangkat lunak tradisional itu memiliki kelemahan keamanan. Menjaga
VMM sesederhana dan sekecil mungkin mengurangi risiko kerentanan keamanan, karena
akan lebih mudah untuk menemukan dan memperbaiki kerentanan apapun.
Selain itu, virtualisasi memperkenalkan kemampuan untuk bermigrasi mesin virtual antara
server fisik untuk toleransi kesalahan, load balancing atau perawatan. Fitur ini berguna juga
dapat menimbulkan masalah keamanan . Seorang penyerang bisa kompromi modul migrasi
VMM dan mentransfer mesin virtual korban ke server berbahaya. Juga, jelas bahwa migrasi
VM memperlihatkan isi VM ke jaringan, yang dapat membahayakan integritas data dan
kerahasiaan. Sebuah mesin virtual berbahaya dapat bermigrasi ke host lain (dengan VMM
lain) mengorbankan itu.
c. Shared Resource
VMS terletak pada server yang sama dapat berbagi CPU, memori, I / O, dan lain-lain.
Berbagi sumber daya antara VMS dapat menurunkan keamanan setiap VM. Misalnya, VM
berbahaya dapat mengambil beberapa informasi tentang VMS lain melalui memori bersama
atau sumber daya bersama lainnya tanpa perlu mengorbankan hypervisor. Menggunakan
saluran rahasia, dua VMS dapat berkomunikasi melewati semua aturan yang ditetapkan oleh
modul keamanan VMM. Dengan demikian, Virtual Machine berbahaya dapat memonitor
sumber daya bersama tanpa diketahui oleh VMM, sehingga penyerang dapat mengambil
beberapa informasi tentang mesin virtual lainnya.
d. Virtual networks
Komponen jaringan dibagi oleh penyewa berbeda karena sumber daya. Seperti disebutkan
sebelumnya, berbagi sumber daya memungkinkan penyerang untuk memulai serangan lintas-
tenant. Jaringan Virtual meningkatkan VMs interkonektivitas, tantangan keamanan penting
dalam Cloud Computing. Cara yang paling aman adalah untuk menghubungkan setiap VM
dengan host dengan menggunakan kanal fisik khusus. Namun, sebagian besar hypervisors
menggunakan jaringan virtual untuk menghubungkan VM untuk berkomunikasi lebih
langsung dan efisien. Misalnya, sebagian besar platform virtualisasi seperti Xen
menyediakan dua cara untuk mengkonfigurasi jaringan virtual: dijembatani dan disalurkan,
namun teknik ini meningkatkan kemungkinan untuk melakukan beberapa serangan seperti
sniifing dan spoofing jaringan virtual.
C. Antisipasi dan Pengamanan
Keamanan penyimpanan data pada cloud computing memang masih perlu banyak
dilakukan penelitian. Namun, tidak ada salahnya untuk mencoba melakukan antisipasi dan
pengamanan tahap awal teknologi cloud computing. Berikut antisipasi dan pengamanan menurut
Oktariani.
1. Antisipasi ancaman keamanan data
Sebelum data benar-benar terancam keamanannya, dalam paper ISACA, dijelaskan beberapa
hal dari penyimpanan data pada cloud computing yang perlu diperhatikan, yaitu :
a. Perlu usaha khusus dalam memilih penyedia jasa (provider) cloud computing.
Reputasi, sejarah dan keberlanjutannya harus menjadi faktor untuk dipertimbangkan.
Keberlanjutan adalah penting untuk memastikan bahwa layanan akan tersedia dan data
dapat dilacak dalam jangka waktu yang lama.
b. Provider cloud harus bertanggung jawab dalam hal penanganan informasi milik user,
yang merupakan bagian penting dari bisnis. Perlu diperhatikan ketika kegagalan
backup atau retrieval informasi terjadi, jangan sampai availability dari informasi dan
kerahasiannya dipertaruhkan.
c. Waktu delay yang mungkin terjadi ketika pengembalian informasi setelah crash atau
insiden lainnya. Karena sifat dinamis dari cloud, maka kinerja provider dalam
melakukan backup, respon dan pemulihan insiden harus benar-benar teruji.
d. Memastikan tersedianya perlindungan hak milik intelektual dan kerahasiaan atas
informasi yang kita simpan pada media penyimpanan cloud.
2. Penanganan ancaman keamanan data
Berdasarkan beberapa scenario risiko yang dirangkum oleh George Reese user cloud dapat
menanganinya dengan:
a. Ketika provider penyedia jasa layanan cloud mengalami down.
Melakukan off-sitebackup secara rutin. Off site backup ini dapat dilakukan dengan
menyewa provider cloud kedua di luar penyedia layanan cloud yang digunakan. Sehingga
jika terjadi sesuatu pada provider penyedia jasa layanan cloud, data tetap dapat
diselamatkan.
b. Adanya pihak ketiga yang menggugat keberadaan cloud dari provider yang
disewa.
Melakukan enkripsi untuk data-data yang kita simpan dan menyimpan kunci enkripsi di luar
cloud. Sehingga, walaupun server cloud disita, kerahasiaan data dapat tetap terjaga.
c. Provider gagal melakukan pengamanan jaringan.
Hal penting yang harus dilakukan sebelum user menentukan provider cloud adalah
dengan memeriksa standar dan proses keamanan jaringan yang mereka terapkan.
3. Enkripsi
Enkripsi merupakan teknik pengamanan data yang sudah digunakan sebelum masa cloud
computing dimulai. Kini, enkripsi menjadi salah satu cara pengamanan data yang disimpan
pada cloud computing terjaga dengan baik. Algoritma one-time pad dapat digunakan untuk
proses enkripsi pada sistem cloud computing, dengan prinsip rancangan
modifikasinya adalah membagi plainteks menjadi cipherteks dan kunci, lalu
mendistribusikan kedua berkas tersebut secara acak di cloud. Pengguna atau pemakai
diberikan akses alamat kedua file tersebut. Algoritma AES juga dapat dipakai di cloud
computing karena daya keamanannya yang tinggi dan efisien.
Lain halnya dengan Craig Gentry yang membuat desain fully homomorphic encryption
yang bukan hanya memiliki sifat homomorfis tapi juga sangat aman. Namun, desain yang
diajukan Gentry sangat tidak praktis. Semakin tinggi tingkat keamanannya, semakin banyak
jumlah sirkuit operasi yang dibutuhkan untuk mengenkripsidata, dan waktu prosesnya bisa
membengkak.
4. Antivirus
Selain itu, ada baiknya user berlangganan antivirus cloud. Pengamanan data tentu perlu
diantisipasi oleh user dan provider. User dapat melakukan pengamanan dari serangan
virus dengan menggunakan service antivirus yang disimpan pada cloud. Beberapa
perusahaan antivirus telah mengembangkan service antivirus untuk cloud, diantaranya
Panda, Symantec dan McAfee. Keunggulan antivirus cloud:
a. Menggunakan resource system pc yang lebih sedikit, karena proses scanning dilakukan
oleh cloud.
b. Bebas bandwidth. Proses updating antivirus sudah dilakukan oleh cloud.
c. Antivirus selalu up-to-date. Cloud selalu mengecek dan melakukan proses update
secara berkala.
D. KESIMPULAN
Cloud computing merupakan model komputasi yang memiliki beragam keuntungan. Namun
dibalik itu, privacy data merupakan hal penting dalam sebuah organisasi terutama
pengguna Cloud Computing yang harus memperhatikan aspek proteksi data yang
disediakan oleh provider. Jika provider mengalami down, data organisasi terancam
hilang, tidak dapat diakses, atau dapat direcovery namun tidak utuh. Hal tersebut tentu
saja dapat merugikan pihak user, karena itu saran untuk user sebelum memilih provider
penyedia layanan adalah :
1. Memastikan reputasi, sejarah dan keberlanjutan provider memiliki
pelayanan yang akan tersedia dan data dapat dilacak dalam jangka waktu yang lama.
2. Meyakinkan penanganan dari provider dalam menghadapi kegagalan backup atau
retrieval informasi cukup terjamin.
3. Waktu delay yang mungkin terjadi ketika pengembalian informasi setelah crash
atau insiden lainnya.
4. Memastikan tersedianya perlindungan hak milik intelektual dan rahasia dagang
atas informasi yang kita simpan pada media penyimpanan cloud.
5. Kinerja provider dalam melakukan backup, respon dan pemulihan insiden harus
benar-benar teruji.
Namun ancaman tersebut dapat diantisipasi dengan melakukan beberapa hal seperti berikut:
1. Memastikan telah memilih provider pengada layanan cloud computing yang
memiliki
2. standardisasi keamanan, recovery data, maupun backup rutin.
3. Melakukan proses enkripsi data-data penting yang dimiliki dengan menyimpan
kunci dekripsinya di luar cloud.
4. Berlangganan service antivirus cloud.
REFERENSI
Hasizume et.all. An Analysis of security issues for cloud computing. 2013.
Oktariani Nurul Pratiwi. Analisis Keamanan Aplikasi Penyimpanan Data Pada Sistem Cloud
Computing. Juni 2011.