Apa yang dimaksud keamanan cloud? Keamanan cloud mencakup berbagai teknologi, kontrol, dan praktik terbaik yang dirancang untuk melindungi data, aplikasi, dan infrastruktur yang disimpan dan dijalankan di lingkungan cloud. Dengan meningkatnya adopsi cloud computing, memastikan keamanan cloud menjadi sangat penting bagi individu dan organisasi. Inilah contoh perusahaan yang sukses menerapkan ISO 27001.
Namun, memilih kerangka kerja keamanan cloud yang tepat bisa menjadi tugas yang menakutkan. Karena, keamanan cloud menjadi prioritas utama bagi organisasi dan pilihan standar keamanan yang tepat untuk menentukan keberhasilan perlindungan aset mereka di lingkungan cloud. Standar ISO, MITRE ATT&CK, Center for Internet Security (CIS), CSF dan CSA menawarkan panduan komprehensif untuk memperkuat postur keamanan cloud organisasi.
Contents
Standar ISO 27000
Standar ISO 27001, telah menjadi acuan penting dalam keamanan TI, khususnya keamanan informasi. Standar ini mencakup dua bagian utama: bagian utama yang menjelaskan sistem manajemen keamanan informasi (ISMS) dan Lampiran A yang merinci kontrol yang harus diterapkan oleh perusahaan.
Selain itu, ISO 27002 memberikan panduan lebih lanjut tentang implementasi kontrol, sementara ISO 27017 secara khusus membahas kontrol keamanan informasi dalam konteks layanan cloud. Prinsip dasar keamanan cloud menekankan tanggung jawab bersama antara penyedia dan pelanggan cloud.
Penyedia cloud harus mematuhi ISO 27001 untuk infrastruktur dan perangkat lunak mereka. Sementara pelanggan bertanggung jawab untuk mengonfigurasi lingkungan cloud mereka sesuai standar. Dalam hal ini penyedia cloud juga menawarkan laporan kepatuhan untuk membantu pelanggan dalam proses sertifikasi ISO 27001.
Cybersecurity Framework (CSF)
Cybersecurity Framework (CSF) yang dikeluarkan oleh NIST merupakan panduan praktis untuk mengelola risiko dunia maya dan memperkuat sistem pertahanan organisasi. CSF telah diadopsi secara luas oleh berbagai organisasi di seluruh dunia sebagai dasar pengambilan keputusan investasi yang lebih efektif dalam menghadapi risiko keamanan siber.
Cybersecurity Framework NIST sendiri terdiri dari tiga elemen utama yang saling terkait, yaitu:
1. Inti Kerangka Kerja
Inti ini berisi daftar aktivitas dan pengendalian keamanan siber yang dikelompokkan dalam lima fungsi utama: identifikasi, perlindungan, deteksi, respons, dan pemulihan. Setiap fungsi dipecah lebih lanjut menjadi kategori dan subkategori yang lebih spesifik.
2. Framework Tiers
Elemen ini menggambarkan tingkat kematangan manajemen risiko keamanan siber suatu organisasi. Meskipun penting, elemen ini bukan fokus utama dalam perancangan keamanan cloud.
3. Framework Profiles
Profil ini membantu arsitek keamanan dalam menentukan peta jalan mereka. Profil saat ini menggambarkan kondisi keamanan organisasi saat ini, sedangkan profil target menentukan tujuan keamanan yang ingin dicapai. Menjembatani kesenjangan antara kedua profil ini merupakan tugas utama arsitek keamanan.
NIST dan ISO memiliki dampak langsung pada pekerjaan arsitek keamanan cloud. Keduanya memberikan daftar kemampuan keamanan yang relevan untuk arsitektur keamanan organisasi.
Namun, NIST menawarkan lebih banyak fleksibilitas dalam memasukkan kebutuhan spesifik perusahaan. Selain itu, kedua standar ini juga merumuskan persyaratan tambahan terkait proses dan perubahan yang dapat memengaruhi cara departemen TI menjalankan beban kerja dan mengembangkan aplikasi di cloud.
Cloud Security Alliance (CSA)
Cloud Security Alliance (CSA) telah menerbitkan “Panduan Referensi Arsitektur Perusahaan” yang berpengaruh. Panduan ini menyatukan berbagai standar keamanan yang ada, seperti ISO-27002, PCI-DSS, dan Cobit. Dengan demikian, panduan ini memberikan daftar komprehensif kemampuan keamanan yang relevan bagi berbagai departemen dalam organisasi.
Pendekatan CSA yang menggabungkan standar-standar yang ada alih-alih menciptakan standar baru, menunjukkan bahwa kerangka keamanan saat ini sudah cukup matang. Meskipun cloud memerlukan teknologi baru, kemampuan keamanan yang mendasarinya tetap relevan dan dapat diterapkan dalam lingkungan cloud.
Center for Internet Security (CIS)
Center for Internet Security (CIS) merupakan organisasi nirlaba untuk membantu masyarakat maupun pemerintah melindungi diri mereka dari ancaman cyber. CIS sendiri menerbitkan tolok ukur konfigurasi teknis terperinci untuk berbagai perangkat lunak dan layanan cloud, termasuk platform besar seperti AWS, GCP, dan Azure. Tolok ukur ini berfokus pada konfigurasi tingkat rendah dan tidak mencakup aspek organisasi atau prosedural.
Meskipun demikian, tolok ukur CIS sangat penting untuk mencegah kesalahan konfigurasi yang dapat membahayakan keamanan sistem. Namun, tolok ukur ini tidak dimaksudkan sebagai kerangka kerja desain arsitektur keamanan cloud yang komprehensif.
Oleh karena itu, arsitek keamanan perlu memahami dan menerapkan tolok ukur CIS, tetapi mereka juga harus mempertimbangkan aspek lain yang lebih luas dalam merancang arsitektur keamanan cloud yang efektif.
MITRE ATT&CK
Kerangka kerja MITRE ATT&CK mengklasifikasikan berbagai teknik peretasan berdasarkan fase serangan siber, seperti pengintaian, akses awal, dan eksfiltrasi. Kerangka kerja ini juga menghubungkan teknik-teknik tersebut dengan kelompok penyerang yang dikenal.ATT&CK bermanfaat bagi peretas etis dalam mensimulasikan serangan dan membantu pusat operasi keamanan dalam mendeteksi ancaman. Namun, dampaknya terhadap arsitektur keamanan cloud terbatas karena perusahaan seringkali bergantung pada layanan keamanan cloud tingkat lanjut untuk menerapkan aturan deteksi.
