Published On: Thu, Sep 22nd, 2016

Menjegal Stereotip Hybrid Cloud yang Tidak Aman

Kebutuhan perusahaan untuk terus berkembang dan mampu menyesuaikan diri di dunia digital dengan cepat membuat platform cloud semakin diminati, baik secara penuh maupun terintegrasi secara hybrid dengan on-premise. Walaupun cloud menjadi jawaban atas kebutuhan infrastruktur moderen, namun stereotip tentang Cloud maupun hybrid cloud adalah tidak aman masih menjadi momok bagi para pelaku industri. Salah satu alasan yang berkembang adalah hilangnya kontrol perusahaan atas data dan berbagai hal yang mereka terapkan di cloud.

 

Kenyataanya, cloud hanyalah lingkungan baru yang mandiri ataupun dapat dintegrasikan ke dalam sistem on-premise yang sudah ada (hybrid) dan yang berjalan di dalamnya adalah aplikasi yang diterapkan oleh perusahaan itu sendiri. Stereotip tersebut muncul karena perusahaan merasa tidak lagi memiliki kendali penuh atas lingkungan IT mereka.

 

Kontrol atas lingkungan baru tersebut sangatlah dimungkinkan ketika perusahaan mampu mengendalikan aplikasi mereka, dan memperluas policy dan kontrol yang sudah mereka terapkan di dalam on-premise ke cloud guna melindungi keseluruhan proses mereka.

 

Di lingkungan yang beragam ini, aplikasi aplikasi-aplikasi yang berjalan di dalam sebuah ekosistem memiliki peran tidak kalah penting dan sepatutya diberikan perlindungan yang mumpuni. Namun topik pembicaraan seputar keamanan di industri masih berkisar tentang berfokus pada keamanan dari sisi jaringan semata.

 

Aplikasi kini menjadi salah satu target serangan dari para dedemit mata. Sebuah laporan berjudul Verizon Data Breach Investigation Report (DBIR) mengungkap fakta bahwa aplikasi merupakan salah satu penyebab utama dari terjadinya berbagai insiden keamanan di industri finansial. Lebih lanjut lagi, laporan tersebut menyebutkan bahwa 44% dari 25 besar pembobolan data disebutkan berawal dari aplikasi yang dieksploitasi, tertinggi kedua setelah crimewaresoftware jahat yang sengaja didesain untuk memfasilitasi aktivitas kejahatan[1]. Di Indonesia sendiri, sudah terjadi beberapa kasus yang berhubungan dengan kejahatan maya yang menyerang data pengguna melalui aplikasi.

 

Melihat hal tersebut, solusi tambahan untuk yang didesain untuk melindungi aplikasi dan data baik yang diterapkan di on-premise ataupun cloud semakin dibutuhkan. Terlebih di cloud, dimana aplikasi menjadi kunci atas kendali perlahan di lingkungan tersebut. Beberapa contoh solusi-solusi yang dapat diterapkan seperti layanan Web Application Firewall (WAF) yang dapat diterapkan pula dalam cloud[2], WAF as a service[3], atau setidaknya memanfaatkan penerapan yang direkomendasikan oleh komunitas OWASP pada setiap aplikasi diterapkan pada cloud.

 

Keamanan cloud dapat dipandang sebagai hal yang menjadi tanggung jawab bersama, antara penyedia layanan cloud dan pelanggan yang memanfaatkan cloud. Namun keamanan aplikasi merupakan tanggung jawab sepenuhnya dari pihak yang menerapkan aplikasi dalam cloud. Selain itu, bisnis juga perlu mempertimbangkan dengan masak-masak layanan dan solusi seperti apa yang perlu diterapkan guna melindungi aplikasi dari berbagai serangan yang dapat datang dari berbagai arah. Hal ini mengartikan bahwa tidak serta merta bahwa cloud tidak aman, seperti stereotip umumnya.

 

Pada akhirnya, keamanan aplikasi bukanlah seperti jasa bodyguard yang menguras lebih banyak biaya untuk memanfaatkannya. Dan bukanlah perlindungan yang hanya dapat dinikmati oleh kalangan tertentu saja. Keamanan aplikasi bisa dianalogikan layaknya polisi yang terus melindungi setiap warga negara. Dan keamanan tersebut terus didapatkan oleh aplikasi, terlepas dimana ia diterapkan, baik di on-premise maupun cloud. Dengan menjadikan keamanan aplikasi sebagai prioritas, bisnis akan dapat memetik berbagai keuntungan dari aplikasi. Dan bagi penggunanya, baik pelanggan maupun karyawan perusahaan, aplikasi dapat terus dimanfaatkan sebagai ujung tombak dalam menjawab berbagai kebutuhan.

 

 

 

***

f5-andre-iswantoTentang Penulis

Andre Iswanto adalah Manager Field System Engineer di F5 Networks Indonesia. Ia bertangung jawab dalam menangani penjualan, membuat perencanaan strategis untuk materi teknis maupun non-teknis, memberikan solusi arsitektur dan keamanan untuk keseluruhan sistem IT, serta memfasilitasi pelatihan dan kerja sama dengan mitra-mitra F5.

[1]   http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigation-report-2015-insider_en_xg.pdf

[2] https://devcentral.f5.com/articles/hourly-licensing-model-f5-delivers-in-aws-marketplace

[3] https://devcentral.f5.com/articles/f5-synthesis-delivering-web-application-security-in-the-cloud-as-a-service