Cloud: Tujuh Resiko Keamanan pada Cloud-Computing
Cloud computing penuh dengan risiko keamanan, menurut perusahaan analis Gartner. Pelanggan yang cerdas akan mengajukan pertanyaan sulit dan mempertimbangkan untuk mendapatkan penilaian keamanan dari pihak ketiga yang netral sebelum berkomitmen untuk vendor cloud, Gartner menyatakan dalam laporan-nya yang berjudul "Assessing the Security Risks of Cloud Computing."
Menurut Gartner Cloud computing memiliki atribut unik yang memerlukan penilaian risiko di berbagai bidang seperti integritas data, pemulihan, dan privasi, dan evaluasi masalah hukum di berbagai bidang seperti e-discovery, kepatuhan terhadap peraturan, dan audit.
Layanan Amazon EC2 dan Google App Engine adalah contoh cloud computing, yang didefinisikan Gartner sebagai "jenis komputasi di mana kemampuan TI-enabled yang sangat scalable dikirim 'sebagai layanan' kepada pelanggan eksternal yang menggunakan teknologi internet."
Pelanggan harus menuntut transparansi, menghindari vendor yang menolak memberikan informasi rinci tentang program keamanan. Ajukan pertanyaan yang berkaitan dengan kualifikasi dari pembuat kebijakan, arsitek, pembuat kode dan operator; proses pengendalian risiko dan mekanisme teknis; dan tingkat pengujian yang telah dilakukan untuk memverifikasi bahwa proses layanan dan kontrol berfungsi sebagaimana dimaksud, dan bahwa vendor dapat mengidentifikasi kerentanan yang tak terduga.
Berikut adalah tujuh masalah keamanan spesifik, yang menurut Gartner, pelanggan harus tanyakan pada vendor sebelum memilih vendor cloud.
- Privileged user access. Data sensitif yang diproses di luar perusahaan membawa risiko yang melekat, karena layanan yang di outsource akan mem-bypass "kontrol fisik, logis, dan personal". IT biasanya akan mencari / menggunakan program-program in-house. Dapatkan informasi sebanyak mungkin tentang orang-orang yang mengelola data anda. Mintalah penyedia untuk memberikan informasi spesifik tentang para administrator yang di pekerjakan dan awasi serta kontrol atas hak akses mereka.
- Regulatory compliance. Pelanggan pada akhirnya bertanggung jawab atas keamanan dan integritas data mereka sendiri, bahkan ketika dipegang oleh penyedia layanan. Penyedia layanan tradisional tunduk pada audit eksternal dan sertifikasi keamanan. Penyedia cloud computing yang menolak untuk menjalani pemeriksaan ini menandakan bahwa pelanggan hanya dapat menggunakannya untuk fungsi yang paling tidak penting saja. Jangan menggunakan penyedia tersebut untuk layanan kritis.
- Data location. Ketika anda menggunakan cloud, anda mungkin tidak akan tahu persis di mana data anda dihosting. Bahkan, anda mungkin tidak tahu negara mana yang akan menyimpannya. Tanyakan kepada penyedia apakah mereka akan berkomitmen untuk menyimpan dan memproses data dalam yurisdiksi tertentu, dan apakah mereka akan membuat komitmen kontraktual untuk mematuhi persyaratan privasi lokal atas nama pelanggan mereka.
- Data segregation. Data di cloud biasanya di lingkungan yang di share bersama data dari pelanggan lain. Enkripsi efektif tetapi tidak sepenuhnya menyembuhkan. Cari tahu apa yang dilakukan untuk memisahkan data pada saat tidak digunakan. Penyedia cloud harus memberikan bukti bahwa skema enkripsi dirancang dan diuji oleh spesialis yang berpengalaman. Kegagalan enkripsi dapat membuat data benar-benar tidak dapat digunakan, dan bahkan enkripsi normal dapat mempersulit ketersediaan.
- Recovery. Bahkan jika anda tidak tahu di mana data anda, penyedia cloud harus memberi tahu anda apa yang akan terjadi pada data dan layanan anda jika terjadi bencana. Setiap penawaran yang tidak mereplikasi infrastruktur data dan aplikasi ke beberapa situs / mesin sekaligus maka akan rentan dan bisa jadi menyebabkan kegagalan total. Tanyakan kepada penyedia anda apakah itu memiliki kemampuan untuk melakukan total recovery dan berapa lama waktu yang dibutuhkan.
- Investigative support. Investigasi aktivitas yang tidak baik atau ilegal mungkin sulit dilakukan dalam cloud computing. Layanan Cloud sangat sulit untuk diselidiki, karena pencatatan dan data untuk beberapa pelanggan dapat ditempatkan bersama dan mungkin juga tersebar di kumpulan host dan pusat data yang selalu berubah. Jika anda tidak berhasil mendapatkan komitmen kontraktual untuk mendukung bentuk-bentuk khusus investigasi, bersama dengan bukti bahwa vendor telah berusaha mendukung kegiatan tersebut, maka asumsi anda yang aman adalah bahwa permintaan penyelidikan dan penemuan tidak akan mungkin dilakukan.
- Long-term viability. Idealnya, penyedia cloud computing anda tidak akan pernah bangkrut atau diakuisisi dan ditelan oleh perusahaan yang lebih besar. Tetapi anda harus yakin data anda akan tetap tersedia bahkan setelah kejadian semacam itu. Tanyakan pada penyedia potensial bagaimana anda akan mendapatkan data anda kembali dan apakah itu akan dalam format yang dapat anda impor ke dalam aplikasi pengganti.