Cloud Security: Melindungi Data dan Aplikasi yang Berjalan di Cloud

1. Shared Responsibility Model

1.1 Konsep Dasar

Pada model shared responsibility, CSP bertanggung jawab atas keamanan infrastruktur cloud—termasuk data center fisik, jaringan global, dan hipervisor—sementara pelanggan bertanggung jawab atas keamanan data dan konfigurasi sumber daya yang mereka gunakan.

1.2 Pembagian Tugas

• CSP: Penyediaan dan pemeliharaan perangkat keras, lapisan virtualisasi, dan layanan platform dasar.
• Pelanggan: Manajemen identitas dan akses, enkripsi data, patching sistem operasi dan aplikasi, serta konfigurasi keamanan jaringan dan firewall.

2. Identity & Access Management (IAM)

2.1 Prinsip-prinsip Utama

IAM memastikan hanya entitas terotorisasi yang dapat mengakses sumber daya cloud melalui konsep least privilege dan role-based access control (RBAC).

2.2 Layanan pada AWS, Azure, GCP

• AWS IAM: Menyediakan user, group, role, dan policy JSON untuk kontrol granular.
• Azure Active Directory (AAD): Mendukung single sign-on, MFA, dan integrasi on-premises AD.
• Google Cloud IAM: Menawarkan predefined/custom roles dan IAM Conditions untuk kontrol berbasis konteks.

3. Perlindungan Data

3.1 Enkripsi Data

Enkripsi data-at-rest dan data-in-transit melindungi kerahasiaan informasi.

• AWS: AWS KMS dengan envelope encryption dan integrasi S3/EBS/RDS.
• Azure: Azure Key Vault untuk kunci, sertifikat, dan Managed HSM.
• GCP: Cloud KMS untuk manajemen kunci simetris/asimetris dan integrasi Cloud Storage.

3.2 Manajemen Kunci

Praktik terbaik mencakup rotasi kunci otomatis, pemisahan peran akses, dan audit log penggunaan kunci.

4. Keamanan Infrastruktur

4.1 Keamanan Jaringan

Penerapan VPC/Virtual Network, ACL, Security Group, dan firewall aplikasi mengurangi permukaan serang.

4.2 Proteksi Host & Container

• Host: Patching OS, konfigurasi hardening, dan EDR.
• Container: Image scanning, runtime protection, service mesh untuk enkripsi traffic internal.

5. Keamanan Aplikasi

5.1 DevSecOps

Integrasi keamanan sejak tahap pengembangan dengan static code analysis, dependency scanning, dan automated testing.

5.2 Web Application Firewall (WAF)

WAF terkelola (AWS WAF, Azure WAF, Cloud Armor) melindungi dari serangan seperti SQL Injection dan XSS.

6. Monitoring & Respons Insiden

6.1 Logging & Audit

• AWS: CloudTrail, CloudWatch Logs.
• Azure: Azure Monitor, Log Analytics.
• GCP: Cloud Logging, Cloud Monitoring.

6.2 Deteksi & Respons

Pemanfaatan SIEM seperti GuardDuty, Sentinel, dan Chronicle untuk deteksi ancaman dan orkestrasi respons otomatis.

7. Compliance & Governance

7.1 Framework & Sertifikasi

CSP mendukung standar ISO 27001, SOC 2, PCI DSS, HIPAA, dan GDPR dengan portal compliance dan artefak audit.

7.2 Policy-as-Code

AWS Config, Azure Policy, dan Forseti Security (GCP) memungkinkan kontrol kepatuhan konfigurasi secara otomatis.