Jumlah migrasi cloud terus bertambah setiap tahun, dan masalah keamanan tetap menjadi topik yang serius. Langkah pertama untuk meminimalkan risiko di cloud adalah identifikasi masalah keamanan utama secara tepat waktu. Masalah ini juga mengganggu pembukuan perusahaan. Dalam sebuah konferensi, CSA (Cloud Security Alliance) mempresentasikan daftar 10 ancaman terhadap keamanan cloud yang dihadapi organisasi, yaitu sebagai berikut.
1. Kebocoran data
Cloud tunduk pada masalah yang sama seperti infrastruktur tradisional . Karena banyaknya data yang kini sering ditransfer ke cloud, situs penyedia cloud hosting menjadi incaran yang menarik bagi para penyusup. Secara bersamaan, tingkat keparahan potensi ancaman secara langsung bergantung pada pentingnya data yang disimpan. Pengungkapan informasi pengguna pribadi, sebagai suatu peraturan, menerima lebih sedikit publisitas daripada pengungkapan laporan medis, rahasia komersial, kekayaan intelektual, yang menyebabkan kerusakan signifikan pada reputasi perusahaan .
2. Akun yang Mengompromikan dan Mengabaikan Autentikasi
Kebocoran data sering kali merupakan akibat dari kelalaian mekanisme otentikasi ketika kata sandi yang digunakan lemah. Manajemen kunci enkripsi dan sertifikat tidak memadai. Selain itu, organisasi menghadapi masalah dalam mengelola hak dan izin, ketika pengguna akhir diberikan kekuasaan yang jauh lebih tinggi daripada yang dibutuhkan. Masalah ini juga terjadi saat pengguna dipindahkan ke posisi lain atau dipecat. Akibatnya, akun tersebut berisi lebih banyak fitur daripada yang dibutuhkan, yang menjadi hambatan dalam masalah keamanan.
3. Antarmuka peretasan dan API
Saat ini, layanan dan aplikasi berbasis cloud tidak dapat dibayangkan tanpa antarmuka yang ramah pengguna. Keamanan dan ketersediaan layanan cloud bergantung pada seberapa baik mekanisme kontrol akses, enkripsi dalam API dikembangkan. Saat berinteraksi dengan pihak ketiga menggunakan API mereka, risiko meningkat karena perusahaan perlu memberikan informasi tambahan , hingga login dan kata sandi pengguna. Antarmuka keamanan yang lemah menjadi penghambat dalam masalah aksesibilitas, kerahasiaan, integritas, dan keamanan.
4. Kerentanan sistem yang digunakan
Kerentanan sistem yang digunakan merupakan masalah yang terjadi di lingkungan cloud multi-tenant . Menurut laporan CSA, biaya yang dikeluarkan untuk mengurangi kerentanan sistem lebih rendah daripada biaya TI lainnya. Kesalahan umum saat menggunakan solusi cloud dalam model IaaS, perusahaan kurang memperhatikan keamanan aplikasi mereka, yang terletak di infrastruktur keamanan penyedia cloud.
5. Pencurian akun
Phishing dan penipuan lainnya sering terjadi di lingkungan cloud . Penipuan ini menambah kekhawatiran dalam bentuk upaya untuk memanipulasi transaksi dan mengubah data. Penyerang menganggap platform cloud sebagai bidang untuk melakukan serangan. Dan bahkan kepatuhan dengan strategi “perlindungan secara mendalam” mungkin tidak cukup. Perlu untuk melarang “berbagi” akun dan layanan pengguna di antara mereka sendiri dan memperhatikan mekanisme otentikasi multifaktor.
6. Orang dalam-penyusup
Insider ancaman bisa datang dari karyawan atau mantan, administrator sistem, kontraktor, atau mitra bisnis. Penyerang orang dalam mengejar tujuan yang berbeda, mulai dari pencurian data hingga keinginan untuk membalas dendam. Dalam kasus cloud, tujuannya mungkin untuk menghancurkan infrastruktur seluruhnya atau sebagian , mendapatkan akses ke data, dan sebagainya.
7. Targetkan serangan cyber
Ancaman berkelanjutan yang dikembangkan , atau serangan dunia maya yang ditargetkan, pada saat ini tidak jarang terjadi. Memiliki pengetahuan yang cukup dan seperangkat alat yang relevan, seseorang dapat mencapai hasil. Pelaku kejahatan yang ingin membangun dan mengkonsolidasikan kehadirannya di infrastruktur sasaran tidak mudah dideteksi.
8. Kehilangan data permanen
Karena cloud telah cukup matang , kasus dengan hilangnya data tanpa kemungkinan pemulihan karena penyedia layanan bersifat sporadis. Pada saat yang sama, penyusup, mengetahui tentang konsekuensi dari penghapusan data permanen, bertujuan untuk melakukan tindakan merusak tersebut. Penyedia cloud hosting untuk mematuhi langkah-langkah keamanan merekomendasikan untuk memisahkan data pengguna dari aplikasi ini, menyimpannya di lokasi yang berbeda.
9. Kesadaran yang tidak memadai
Organisasi yang pindah ke cloud tanpa memahami kapabilitas cloud menghadapi risiko. Jika, misalnya, tim pengembangan sisi klien tidak terbiasa dengan fitur teknologi cloud dan prinsip-prinsip penerapan aplikasi cloud, masalah operasional dan arsitektur muncul.
10. Penyalahgunaan layanan cloud
Organisasi yang sah dan tidak sah dapat menggunakan cloud. Tujuan yang terakhir adalah menggunakan sumber daya cloud untuk melakukan tindakan jahat: meluncurkan serangan DDoS, mengirim spam, mendistribusikan konten berbahaya, dll. Penyedia layanan harus dapat mengenali peserta tersebut. Pelajari lalu lintas secara detail dan gunakan alat pemantauan cloud.
Sumber: https://www.completecontroller.com/