Keamanan Virtualisasi dalam Cloud Computing
description
Transcript of Keamanan Virtualisasi dalam Cloud Computing
Keamanan Virtualisasi dalam Cloud Computing
Ahmad Rifai ZA1
1 Staf Badan Pengelolaan Lingkungan Hidup Daerah Prov. Jawa BaratMahasiswa Program Pascasarjana Bidang Khusus Kepemimpinan Teknologi Informasi
email: [email protected]
Abstrak
Virtualisasi sebagai fondasi komputasi Awan secara konsisten menyatakan infrastruktur virtualisasi sebagai
komponen pembangun utama dari komputasi awan. Virtualisasi memungkinkan organisasi memisahkan aplikasi
bisnis dan informasi kritikal dengan piranti keras fisik. Hal ini menjadi cara yang efektif dan cepat menuju awan.
Semakin banyak organisasi menyadari manfaat dari investasi di virtualisasi. Sebagian besar perusahaan
menggunakan virtualisasi untuk server dan data center, banyak di antaranya berfokus memberdayakan
virtualisasi untuk meningkatkan kemampuan pemulihan bencana dan kesinambungan bisnis. Cara kerja
komputasi awan yang seperti itu yang masih mengundang keraguan konsumen, apakah teknologi tersebut aman
atau tidak. Selain itu, sebelum melangkah ke komputasi awan, sebuah perusahaan terlebih dahulu harus
menerapkan virtualisasi data centernya secara internal.
Kata kuci: cloud computing, virtualiasi, hypervisor
1. PendahuluanDi Indonesia, teknologi Cloud Computing atau
komputasi awan, selama ini baru sebatas tren yang didengang-dengungkan oleh vendor-vendor teknologi saja. Sedangkan untuk menerapkannya, masih ditemui sejumlah kendala.
Komputasi awan, atau teknologi untuk mengefisienkan penyimpanan data sejatinya bukanlah "barang" baru. Sejak beberapa tahun lalu, teknologi ini sudah ramai diperbincangkan dan mulai diterapkan di luar negeri.
Sebuah perusahaan yang menerapkan teknologi tersebut bisa jadi tak perlu lagi menyediakan infrastruktur atau perangkat penyimpanan data sendiri. Data-data perusahaan tersebut bukanlah "dihilangkan", melainkan disimpan di data center yang digunakan bersama-sama.
Cara kerja komputasi awan yang seperti itu yang masih mengundang keraguan konsumen di Indonesia, apakah teknologi tersebut aman atau tidak. Selain itu, sebelum melangkah ke komputasi awan, sebuah perusahaan terlebih dahulu harus menerapkan virtualisasi data centernya secara internal.
Dengan melakukan virtualisasi internal, sebuah perusahaan yang sebelunmya memiliki sepuluh server untuk menjalankan sepuluh aplikasi (1 server untuk 1 aplikasi), mungkin jadi hanya membutuhkan sebuah server saja.
Namun, untuk melakukan virtualisasi, selama ini konsumen seringkali masih dilanda kebingungan. Mau dimulai darimana virtualisasi itu. Apakah storage-nya, server atau j aringannya terlebih dahulu.
Dari sisi penyedia layanan, agar virtualisasi bisa berjalan lebih efisien dan menyeluruh, dibutuhkan kolaborasi. Yakni antara penyedia layanan storage, penyedia layanan infrastruktur jaringan serta penyedia layanan server dan mesin virtualisasi.
Virtualisasi sebagai fondasi komputasi Awan secara konsisten menyatakan infrastruktur virtualisasi sebagai komponen pembangun utama dari komputasi Awan. Virtualisasi memungkinkan organisasi memisahkan aplikasi bisnis dan informasi kritikal dengan peranti keras fisik. Hal ini menjadi cara yang efektif dan cepat menuju Awan. Semakin banyak organisasi menyadari manfaat dari investasi di virtualisasi.
Gambar 1. Alasan Virtualiasasi
1
23456
789
1011
121314151617
181920212223
2425262728
29303132
3334353637
383940414243444546
4748
49
Sebagian besar perusahaan menggunakan virtualisasi untuk server dan data center, banyak di antaranya berfokus memberdayakan virtualisasi untuk meningkatkan kemampuan pemulihan bencana dan kesinambungan bisnis.
2. Pengertian VirtualisasiSaat ini, teknologi virtualisasi telah berkembang
dan sekarang bisa berlaku untuk beberapa lapisan dalam datacenter. Hal ini yang menjadi dasar mengapa memahami jenis virtualisasi yang tersedia menjadi penting. Dalam satu datacenter yang dinamis akan ada setidaknya tujuh lapisan virtualisasi.
Gambar 2. Tujuh aspek virtualisasi
Sumber: Virtualization a beginner guide oleh Danielle Ruest dan Nelson Ruest, halaman 26
1. Server Virtualization (SerV) ini difokuskan pada partisi fisik dari sebuah sistem operasi ke dalam mesin virtual. Terdapat dua aspek dalam virtualisasi server:
Software Virtualization (SoftV), menjalankan virtualisasi sistem operasi diatas sebuah plaform virtualisasi software yang berjalan pada sebuah sistem operasi yang sudah ada.
Hardware Virtualization (HardV), menjalankan sistem operasi virtual di atas platform software yang berjalan langsung di atas hardware tanpa sistem operasi yang ada.
Ketika bekerja denga virtualisasi server, server fisik menjadi sebuah host untuk semua sistem operasi virtual atau mesin virtual (VMs).
2. Storage Virtualization (StoreV) digunakan untuk menggabungkan storage fisik dari beberapa device untuk menjadikannya sebagai sebuah penyimpanan tunggal. Storage ini dapat berupa: direct attached
storage (DAS), network attached storage (NAS), atau storage area networks (SANs); dan dapat dihubungkan dengan melalui beberapa protokol: Fibre Channel, Internet SCSI (iSCSI), Fibre Channel pada Ethernet, atau bahkan Network File System (NFS).
3. Network Virtualization (NetV), memungkinkan pengendalian bandwidth yang tersedia dengan memisahkan ke dalam saluran independen yang dapat ditugaskan untuk sumber daya tertentu. Sebagai contoh, bentuk paling sederhana dari virtualisasi jaringan adalah virtual local area network (VLAN), yang menciptakan segregasi logis dari jaringan fisik.
4. Management Virtualization (ManageV), difokuskan pada teknologi yang mengelola seluruh datacenter, baik fisik dan virtual, untuk menyajikan satu infrastruktur kesatuan tunggal dalam penyediaan layanan. ManageV tidak harus dilakukan melalui sebuah antarmuka tunggal.
5. Desktop Virtualization (DeskV), memungkinkan untuk mengendalikan mesin virtual untuk sistem desktop. Virtualisasi Desktop memiliki beberapa keunggulan, di antaranya adalah kemampuan untuk memusatkan deployment desktop dan mengurangi biaya manajemen karena pengguna mengakses desktop terpusat melalui berbagai perangkat.
6. Presentation Virtualization (PresentV), virtualisasi ini hanya menyediakan layer presentasi dari sebuah lokasi pusat untuk user. Kebutuhan PresentV berkurang sejalan dengan dikenalnya teknologi Virtualisasi Aplikasi, protokol yang digunakan untuk PresentV berada di bagian depan dari kedua teknologi DeskV dan SerV karena mereka adalah protokol yang digunakan untuk mengakses, menggunakan, dan mengelola beban kerja virtual.
7. Aplication Virtualization (AppV), menggunakan prinsip yang sama seperti server berbasis software, tapi bukan menyediakan mesin untuk menjalankan sistem operasi keseluruhan, AppV merupakan aplikasi produktivitas dari sistem operasi.
3. Teknik VirtualisasiVirtualisasi dan komputasi awan memungkinkan
komputer pengguna untuk mengakses komputer canggih dan aplikasi perangkat lunak yang diselenggarakan oleh kelompok remote dari server, tapi masalah keamanan yang berkaitan dengan
Model Virtualisasi
AppV (Aplication Virtualization)
PresentV (Presentation Virtualization)
DeskV (Desktop Virtualization)
ManageV (Management Virtualization)
NetV (Network Virtualization)
StoreV (Storage Virtualization)
SerV (Server Virtualization)
1
23456
7
8
91011121314
1516
1718
19
20212223
242526272829
3031323334
35363738
3940414243
444546474849
505152535455565758
59606162636465
666768697071727374
7576777879808182838485
86878889909192
93
94
95
96979899
100
privasi data akan membatasi kepercayaan publik dan memperlambat adopsi teknologi baru.
Virtualisasi memungkinkan penyatuan kekuatan komputasi dan penyimpanan beberapa komputer, yang kemudian dapat digunakan bersama oleh beberapa pengguna.
Sebagai contoh, di bawah paradigma cloud computing, bisnis dapat sewa sumber daya komputer dari pusat data untuk mengoperasikan situs Web dan berinteraksi dengan pelanggan tanpa harus membayar overhead dari membeli dan memelihara infrastruktur TI mereka sendiri.
Pengelola virtualisasi, biasa disebut sebagai "hypervisor" adalah jenis perangkat lunak yang menciptakan "mesin virtual" yang beroperasi secara terpisah dari satu sama lain pada komputer umum.
Dengan kata lain, hypervisor yang memungkinkan sistem operasi yang berbeda untuk dijalankan secara terpisah dari satu sama lain meskipun masing-masing sistem ini menggunakan daya komputasi dan kemampuan penyimpanan pada komputer yang sama. Ini adalah teknik yang memungkinkan konsep seperti komputasi awan berfungsi.
Gambar 3. Layer sumberdaya dan layer virtual dalam datacenter
Sumber: Virtualization a beginner guide oleh Danielle Ruest dan Nelson Ruest, halaman 38
4. Prinsip KeamananTiga prinsip dasar keamanan informasi yaitu
kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) sangat menentukan postur keamanan pada komputasi awan.
a. Kerahasiaan (confidentiality): adalah pencegahan dari pengungkapan yang tidak sah secara disengaja atau tidak terhadap sebuah konten. Kehilangan kerahasiaan dapat terjadi dalam berbagai cara. Sebagai contoh, kehilangan kerahasiaan dapat terjadi melalui pelepasan secara sengaja informasi perusahaan atau melalui penyalahgunaan hak jaringan.Beberapa unsur-unsur telekomunikasi digunakan untuk memastikan kerahasiaan adalah sebagai berikut: Protokol keamanan jaringan (Network
security protocols)
Layanan otentikasi jaringan (Network authentication services)
Layanan enkripsi data (Data encryption services)
b. Integritas (integrity): adalah jaminan bahwa pesan terkirim adalah pesan yang diterima dan tidak diubah. Kehilangan integritas dapat terjadi melalui serangan yang disengaja untuk mengubah informasi. Beberapa elemen digunakan untuk memastikan integritas adalah sebagai berikut: Layanan firewall (Firewall services) Manajemen keamanan komunikasi
(Communications security management) Layanan deteksi intrusi (Intrusion detection
services)
c. Ketersediaan (availability): konsep ini mengacu pada unsur-unsur yang menciptakan keandalan dan stabilitas dalam jaringan dan sistem. Hal ini menjamin konektivitas yang mudah diakses ketika dibutuhkan, memungkinkan pengguna berwenang untuk mengakses jaringan atau sistem.Konsep ketersediaan juga cenderung mencakup area dalam sebuah sistem informasi yang secara tradisional tidak dianggap sebagai keamanan murni (seperti jaminan pelayanan, kinerja, dan sampai waktu), namun yang jelas dipengaruhi oleh pelanggaran seperti serangan denial-of-service (DoS).Beberapa elemen yang digunakan untuk menjamin ketersediaan adalah sebagai berikut: Kesalahan toleransi untuk ketersediaan data,
seperti backup dan sistem disk redundan Penerimaan login dan kinerja operasi proses Reabilitas keamanan proses dan mekanisme
keamanan jaringan
5. Peluang Ancamana Vitualiasai Cloud ComputingKomputasi awan menyajikan banyak tantangan
organisasi. Bila organisasi berpindah ke layanan komputasi awan publik tentu infrastruktur sistem komputasi dikendalikan oleh pihak ketika yaitu Cloud Service Provider (CSP) dan tantangan ini harus ditangani melalui inisiatif manajemen. Inisiatif manajemen ini akan memerlukan gambaran jelas peran kepemilikan dan tanggung jawab dari CSP dan organisasi yang berperan sebagai pelanggan.
Manajer keamanan harus dapat menentukan deteksi dan kontrol pencegahan untuk secara jelas
12
3456
789
101112
13141516
1718192021222324
25
262728
2930
31
32
33343536
37383940414243444546474849
50515253
54
555657585960616263646566
67
686970717273747576777879808182838485868788
89
9091
9293949596979899
100
101102
menentukan postur keamanan organisasi. Walaupun kontrol keamanan yang tepat harus dilaksanakan berdasarkan aset, ancaman, dan matriks penilaian risiko kerentanan, dan bergantung pada tingkat perlindungan data yang diperlukan, beberapa proses manajemen umum akan diperlukan terlepas dari sifat bisnis organisasi. Ini meliputi:
Implementasi kebijakan keamanan Deteksi dan respon intrusi komputer Manajemen keamanan virtualisasi
Beberapa ancaman terhadap sistem virtualisasi bersifat umum, karena hal itu merupakan ancaman yang melekat pada semua sistem komputerisasi (seperti serangan denial-of-service atau DoS). Ancaman dan kerentanan lain, bagaimanapun bersifat unik untuk mesin virtual. Banyak kerentanan VM berasal dari fakta bahwa kerentanan dalam satu sistem Virtual Mechine dapat dimanfaatkan untuk menyerang sistem Virtual Mechine lain atau sistem host, sebagai bagian beberapa mesin virtual yang berbagi hardware fisik yang sama, seperti yang ditunjukkan pada gambar berikut.
Gambar 4. Kerentanan sistm dasar mesin virtual
Sumber: Cloud Security a Comprehensive Guide to Secure Cloud Computing, oleh Ronald L. Krutz dan
Russell Dean Vines, halaman 38
Hypervisor adalah bagian dari sebuah mesin virtual yang memungkinkan host berbagi sumber daya dan memungkinkan isolasi mesin virtual/host. Oleh karena itu, kemampuan hypervisor untuk menyediakan isolasi yang diperlukan selama serangan disengaja sangat menentukan seberapa baik mesin virtual dapat bertahan terhadap risiko tersebut.
Salah satu alasan mengapa hypervisor ini rentan terhadap risiko adalah karena program perangkat lunak; risiko meningkat seiring dengan volume dan peningkatan kompleksitas kode aplikasi. Idealnya, perangkat lunak kode operasi dalam sebuah virtual mesin tidak mampu berkomunikasi atau mempengaruhi kode yang berjalan baik pada host fisik itu sendiri atau dalam sebuah mesin virtual yang berbeda, tetapi beberapa masalah, seperti bug dalam perangkat lunak, atau keterbatasan pelaksanaan virtualisasi, mungkin menempatkan isolasi ini menjadi risiko. Kerentanan utama yang melekat dalam hypervisor terdiri dari rootkit hypervisor jahat,
modifikasi eksternal hypervisor, dan menghilangkan mesin virtual.
Oleh karena itu booming virtualisasi pada komputasi awan dan teknologi baru lainnya dapat manarik bagi penulis malware untuk melakukan percobaan penyerangan dan bisa memicu gelombang penyerangan. Ancaman terhadap virtualisasi akan menjadi faktor utama karena semakin banyak perusahaan akan menjalankan aplikasinya secara virtual.
Beberapa virus sudah menunjukkan tanda-tanda yang dapat mendeteksi ketika mereka berada di lingkungan virtualisasi, ia menambahkan, tapi mereka menolak untuk berjalan atau menghapus diri mereka sehingga mereka tidak dapat dilacak.
Selain itu juga, sebagai perusahaan yang mulai bergerak ke dalam awan, mereka juga akan mulai menghadapi kerentanan keamanan karena itu akan menjadi daerah baru bagi mereka
Hal yang sama berlaku bagi pertumbuhan smartphone canggih, yang membuatnya mudah bagi para pengembang untuk menciptakan aplikasi baru bahwa pengguna dapat men-download ke perangkat mereka.
6. Teknik PenyeranganSalah satu ancaman utama untuk virtualisasi dan
komputasi awan adalah perangkat lunak berbahaya yang memungkinkan virus komputer atau malware lain yang membahayakan sistem satu pelanggan untuk menyebar ke hypervisor dan akhirnya ke sistem pelanggan lain.
Singkatnya adalah bahwa salah satu komputasi awan pelanggan bisa men-download virus atau mencuri data pengguna dan kemudian menyebarkan virus dengan sistem dari semua pelanggan lainnya.
Jika serangan semacam initerjadi, hal itu tentu merusak kepercayaan konsumen dalam komputasi awan karena konsumen tidak bisa mempercayai bahwa informasi mereka akan tetap rahasia.
7. PencegahanTeknik yang bisa digunakan adalah melakukan
integritas dari hypervisor yang mendasarinya dengan melindungi dari malware yang mungkin didownload oleh pengguna individu, dengan demikian, kita dapat memastikan isolasi hypervisor itu.
Sebuah malware dalam menguasai hypervisor, biasanya perlu menjalankan kode sendiri di hypervisor ini. Perlu menggunakan dua komponen untuk mencegah hal itu terjadi.
1. Teknik kuncian yang disebut memori nonbypassable, yang secara eksplisit dan terpercaya dalam pengenalan kode baru oleh pihak lain selain administrator hypervisor. Hal
1234567
89
10
11
121314151617181920212223
2425
262728
29
30313233343536
37383940414243444546474849
5051
5253545556575859
6061626364
65666768
6970717273
74
75
767778798081
82838485
86878889
90
91
9293949596
979899
100
101102103104
ini juga mencegah upaya untuk mengubah kode hypervisor yang ada dengan pengguna eksternal.
2. Menggunakan teknik yang disebut pengindeksan pembatasan pointer. Teknik ini melihat perilaku normal ciri sebuah hypervisor, dan kemudian mencegah penyimpangan apapun dan profil itu, hanya administrator hypervisor sendiri bisa memperkenalkan perubahan kode hypervisor.
Selain hal itu perlu juga dilakukan tindakan pencegahan secara umum sebagai berikut:
Penguatan sistem operasi host Pembatasan akses fisik terhadap host Menggunakan komunikasi terenkripsi Menonaktifkan background task Updating dan penambalan Mengaktifkan Perimeter Pertahanan di mesin
virtual Implementasi pemeriksaan integritas file Pengelolaan backup
8. KesimpulanAdopsi teknologi awan mendatangkan banyak
tantangan terhadap organisasi, terutama di bidang keamanan komputasi. Pengelolaan keamanan komputasi awan baik itu private cloud maupun public cloud yang diawasi oleh Cloud Services Provider bisa menjadi tugas yang penting.
Untuk membantu mengurangi ukuran dari tugas, definisi jelas inisiatif manajemen harus dilembagakan yang menggambarkan kepemilikan yang jelas dan tanggung jawab keamanan data.
Untuk tujuan ini kita melihat kebutuhan dan fungsi dari kebijakan keamanan dan disarankan untuk membentuk Tim penanggulangan insiden keamanan komputer (computer intrusion detection and response and the creation of a Computer Security Incident Response Team - CSIRT)
DAFTAR PUSTAKA
[1] Ronald L. Krutz, Russell Dean Vines, “Cloud Application Architecture Building Application and Infrastructure in the Cloud”, Wiley Publishing, Inc, United States of America, 2010
[2] Danielle Ruest, Nelson Ruest, “Virtualization: A Beginner’s Guide”, McGraw-Hill, United States of America, 2009
[3] Richard Adhikari, 2010, Will Cloud Computing, Virtualization Become Hacker Heaven?, http://www.enterpriseitplaneA1/49m/security /news/article.php/3797166/Will-Cloud-Computing-Virtualization-Become-Hacker-Heaven.htm
[4] Anonim, 2010, Cisco, NetApp, dan VMware Berkolaborasi Menuju Komputasi Awan, http://wiendyn.blogspot.com/2010/02/cisc o-netapp-dan-vmware-berkolaborasi.html
[5] ______, 2010, Penetrasi tinggi Cloud Computing di Asia Pasifik , http://www.klikmagz.com/baca.php?id=Pe netrasi-tinggi-Cloud-Computing-di-AsiaPasifik
[6] ______, 2011, Leveraging Virtualization Technologies for IT Optimization, http://www.itiso.de/en/virtualisierung.html
[7] ______, 2010, New Research Offers Security for Virtualization, Cloud Computing http://www.sciencedaily.com/rileases/201 0/04/100427111259.htm
12345678
9
1011
121314151617181920
21
22
232425262728
29303132
333435363738
39
40
414243444546474849505152535455
56575859606162636465666768697071