Risiko Keamanan spesifik di lingkungan Hybrid Cloud Environment - dummies

Perusahaan yang bekerja di lingkungan awan hibrida harus mempertimbangkan berbagai jenis risiko keamanan dan pertimbangan tata pemerintahan. Pengertian keamanan merupakan target yang bergerak. Pendidikan adalah kunci untuk memastikan bahwa setiap orang dalam organisasi memahami peran dan tanggung jawab keamanannya.

Resiko keamanan sistem komputer

Menurut Institut Nasional Standar dan Teknologi (NIST), badan standar pemerintah, sistem komputer dikenai banyak ancaman, mulai dari hilangnya data hingga kehilangan fasilitas komputasi keseluruhan karena kebakaran. atau bencana alam. Kerugian ini bisa datang dari karyawan terpercaya atau dari hacker.

Kesalahan dan kelalaian, termasuk kesalahan data atau kesalahan pemrograman

• Penipuan dan pencurian

• Sabotase karyawan

• Kehilangan dukungan infrastruktur fisik

• Malicious hacker

• Kode berbahaya

• Ancaman terhadap privasi pribadi individu

• Risiko keamanan awan hibrida

Banyak risiko keamanan yang sama yang dihadapi perusahaan saat berhadapan dengan sistem komputer mereka sendiri ditemukan di awan, namun ada beberapa tikungan penting. Cloud Security Alliance (CSA), sebuah organisasi yang didedikasikan untuk memastikan praktik terbaik keamanan di awan, yang dicatat dalam terbitan baru-baru ini, "Panduan Keamanan untuk Wilayah Kritis yang Terfokus pada Komputasi Awan," bahwa area risiko operasional yang signifikan di awan meliputi berikut ini:

Keamanan tradisional:

• Lingkungan hibrida mengubah keamanan tradisional karena Anda tidak lagi memegang kendali sepenuhnya. Beberapa aset komputasi yang Anda gunakan tidak ada di tempat Anda. Sekarang Anda harus memastikan bahwa langkah keamanan tradisional yang kuat diikuti oleh penyedia awan Anda. Keamanan fisik

  • mencakup keamanan peralatan IT, aset jaringan, dan infrastruktur telekomunikasi. CSA merekomendasikan pertahanan "aktif dan pasif" untuk keamanan fisik. Keamanan sumber daya manusia

  • berhubungan dengan sisi orang dari persamaan - memastikan pemeriksaan latar belakang, kerahasiaan, dan pemisahan tugas (yaitu mereka yang mengembangkan aplikasi tidak mengoperasikannya). Kesinambungan bisnis

  • rencana harus menjadi bagian dari perjanjian tingkat layanan untuk memastikan bahwa penyedia layanan memenuhi perjanjian tingkat layanan untuk terus beroperasi dengan Anda. Rencana pemulihan bencana

  • harus memastikan bahwa aset Anda (misalnya, data dan aplikasi) dilindungi. Insiden penanganan:

• Lingkungan awan hibrida mengubah penanganan insiden setidaknya dalam dua cara. Pertama, bila Anda memiliki kendali atas pusat data Anda sendiri, jika terjadi insiden, Anda harus bekerja sama dengan penyedia layanan karena penyedia layanan mengendalikan setidaknya sebagian infrastruktur. Kedua, sifat multi-penyewa awan sering kali membuat penyelidikan menjadi lebih rumit. Misalnya, karena informasi mungkin digabungkan, analisis log mungkin sulit dilakukan, karena penyedia layanan Anda mencoba menjaga privasi. Anda perlu mengetahui bagaimana penyedia layanan Anda mendefinisikan sebuah insiden dan memastikan Anda dapat menegosiasikan bagaimana Anda akan bekerja sama dengan penyedia untuk memastikan semua orang puas.

  Keamanan aplikasi:

• Saat ada aplikasi di awan, semua terkena ancaman keamanan. CSA membagi keamanan aplikasi ke berbagai area, termasuk mengamankan siklus pengembangan perangkat lunak di awan; otentikasi, otorisasi, dan kepatuhan; manajemen identitas, manajemen otorisasi aplikasi, pemantauan aplikasi, pengujian penetrasi aplikasi, dan manajemen risiko. Enkripsi dan manajemen kunci:

• Enkripsi data mengacu pada seperangkat algoritma yang dapat mengubah teks menjadi bentuk yang disebut cyphertext, yang merupakan bentuk teks biasa yang tidak dapat dibaca oleh pihak yang tidak sah. Penerima pesan terenkripsi menggunakan kunci yang memicu algoritma untuk mendekripsi data dan memberikannya dalam keadaan semula ke pengguna yang diotorisasi. Oleh karena itu, Anda dapat mengenkripsi data dan memastikan bahwa hanya penerima yang diinginkan yang dapat mendekripsinya. Di awan publik, beberapa organisasi mungkin tergoda untuk mengenkripsi semua informasi mereka karena mereka khawatir tentang pergerakannya ke awan dan betapa amannya saat berada di awan. Baru-baru ini, para ahli di lapangan sudah mulai mempertimbangkan langkah keamanan lainnya selain enkripsi yang bisa digunakan di cloud.

  Manajemen identitas dan akses:

• Manajemen identitas adalah topik yang sangat luas yang berlaku untuk banyak area di pusat data. Tujuan pengelolaan identitas adalah mengendalikan akses terhadap sumber daya komputer, aplikasi, data, dan layanan. Manajemen identitas berubah secara signifikan di awan. Di pusat data tradisional, Anda mungkin menggunakan layanan direktori untuk otentikasi dan kemudian menyebarkan aplikasi di zona aman firewall. Awan sering membutuhkan banyak bentuk identitas untuk memastikan akses ke sumber daya aman.

  Dengan meningkatnya penggunaan komputasi awan, teknologi nirkabel, dan perangkat seluler, Anda tidak lagi memiliki batasan yang jelas mengenai apa yang ada di dalam dan di luar sistem Anda. Anda harus menilai apakah lubang atau kerentanan ada di server, jaringan, komponen infrastruktur, dan titik akhir, dan kemudian terus memantau mereka. Dengan kata lain, Anda harus bisa mempercayai infrastruktur Anda sendiri dan juga infrastruktur penyedia awan.