Nama : Muhammad Asazili

CLOUD COMPUTING
NIM : 1610530226

Encrypting Your Data (Mengenkripsi Data Anda)

Teknologi enkripsi, kerangka kerjanya, dan bagaimana penerapannya dan dukungannya
adalah topik yang kompleks. Teknologi enkripsi di bidang keamanan dan penyelaman
mendalam tentang topik ini berada di luar cakupan ujian sertifikasi Cloud +.
Di sini Anda akan mendapatkan pengantar singkat tentang teknologi umum dan kemudian
melihat cara mengenkripsi data saat sedang transit melalui jaringan dan sisanya dalam sistem
penyimpanan.

 IP Security (Keamanan IP)

Keamanan IP (IPsec) adalah kerangka kerja, atau arsitektur, yang menggunakan banyak
protokol berbeda untuk memberikan integritas, kerahasiaan, dan otentikasi data pada
jaringan TCP/IP. Karena IPsec bukan protokol tetapi kerangka kerja yang
mengimplementasikan banyak protokol keamanan dan enkripsi yang berbeda di bawah
satu payung, mungkin sulit untuk memahami semua detail dan mengimplementasikan dan
memecahkan masalah dengan benar.
Sebagian besar implementasi IPsec ditemukan dalam VPN, keamanan aplikasi, dan
teknologi keamanan jaringan yang umumnya diimplementasikan dalam sistem operasi,
router, dan firewall.
Ada dua mode operasi utama dengan IPsec: mode transportasi dan mode terowongan.
Perbedaan utama terletak pada di mana fungsi IPsec berlangsung.
Dengan mode transport, host sumber dan tujuan akan melakukan fungsi kriptografi. Data
terenkripsi dikirim melalui sesi terenkripsi ke host jarak jauh. Data, yang disebut ciphertext,
dibuat oleh host sumber dan diambil oleh host tujuan. Mode transportasi memungkinkan
keamanan ujung ke ujung.
Saat Anda menggunakan mode terowongan, router atau firewall biasa digunakan semua
fungsi IPsec, dan semua lalu lintas yang melewati tautan dienkripsi dan didekripsi oleh
jaringan atau perangkat keamanan, seperti yang ditunjukkan pada Gambar 3.1.
Pengaturan ini melepaskan keamanan dan pemrosesan dari mesin host dan
memungkinkan titik kontrol pusat.
Imbalannya adalah bahwa keamanan ujung-ke-ujung lengkap tidak disediakan karena
lompatan dari router atau firewall yang mengakhiri terowongan terenkripsi ke titik akhir
tidak akan diamankan dengan IPsec.
 Saat beroperasi dalam mode terowongan, gateway jaringan khusus melakukan
pemrosesan kriptografi di samping host sumber dan tujuan. Di sini, banyak terowongan
dibuat secara seri antara gateway, membangun keamanan gateway-to-gateway. Ketika
menggunakan salah satu dari mode ini, semua gateway memiliki kemampuan untuk
memverifikasi bahwa suatu paket adalah nyata dan untuk mengotentikasi paket di kedua
ujungnya.
Dua jenis enkapsulasi digunakan oleh IPsec. Yang pertama disebut sebagai header
otentikasi (AH), dan yang kedua disebut muatan keamanan terenkapsulasi (ESP). Baik
AH dan ESP memberikan keamanan untuk data pada jaringan tetapi memiliki
implementasi yang sedikit berbeda.
o AH menyediakan layanan keaslian dan integritas. Otentikasi disediakan oleh fungsi
hash kunci yang disebut kode otentikasi pesan (MAC). AH juga memiliki kemampuan
untuk menentukan apakah paket telah dimodifikasi dalam perjalanan dan memiliki
layanan antireplay untuk keamanan tambahan.
o ESP adalah protokol yang mendefinisikan bagaimana protokol IPsec
mengenkapsulasi paket IP asli dan bagaimana menyediakan otentikasi, enkripsi, dan
kerahasiaan untuk data di dalam paket.
IPsec mengimplementasikan layanan yang paling umum ditemukan dalam keamanan TI,
seperti menyediakan otentikasi, integritas data, kerahasiaan data, enkripsi, dan non-
repudiation (yang merupakan cara untuk menjamin bahwa pengirim pesan tidak dapat
kemudian menyangkal telah mengirim pesan dan bahwa penerima tidak dapat
menyangkal telah menerima pesan).

 Secure Sockets Layer

Secure Sockets Layer (SSL) dan penggantinya, Transport Layer Security (TLS),
membentuk grup protokol yang beroperasi di atas TCP untuk menyediakan sesi
terenkripsi antara klien dan server. Ini biasanya terlihat di situs web yang
diimplementasikan sebagai protokol Hypertext Transport Protocol Secure (HTTPS).
Protokol pada lapisan yang lebih tinggi seperti HTTP tidak perlu dimodifikasi sambil tetap
menawarkan koneksi yang aman. Meskipun SSL / TLS paling sering dikaitkan dengan
layanan web yang aman, itu juga dapat digunakan untuk mengamankan setiap aliran
komunikasi berbasis TCP.
Dengan implementasi keamanan SSL / TLS, semua yang terekspos dalam paket adalah
alamat IP dan nomor port. Sisa muatan paket dienkripsi.
Ketika browser terhubung ke situs web yang aman dan koneksi TCP dibuat, jabat tangan
SSL terjadi dan diprakarsai oleh browser web klien. Browser kemudian mentransmisikan
ke server versi SSL / TLS, metode enkripsi yang lebih disukai untuk digunakan, dan, jika
menggunakan kompresi, jenis apa yang digunakan. Server akan memilih versi SSL / TLS
tertinggi yang didukungnya dan menyetujui metode enkripsi yang ditawarkan oleh klien.
Jika kompresi akan digunakan, itu juga akan memilih algoritma kompresi untuk digunakan.
Ketika jabat tangan dasar selesai, server akan mengirim sertifikat menggunakan layanan
Infrastruktur Kunci Publik (PKI) ke klien. Sertifikat harus dipercaya oleh klien atau otoritas
sertifikat yang dipercayai klien; daftar otoritas tepercaya disimpan di browser.
Setelah klien melakukan fungsi verifikasi sertifikat untuk menentukan server web benar-
benar yang diklaimnya, klien akan menghasilkan kunci simetris yang disebut kunci sesi
 dan kemudian menggunakan kunci sesi yang dipertukarkan untuk transmisi data yang
aman. Sesi SSL sekarang dibuat.
Sekarang setelah Anda memiliki koneksi, setiap paket akan ditandatangani dengan MAC.
Anda sekarang dapat memastikan bahwa pengirim dan penerima sebenarnya pencetus
data dan bukan seseorang yang mengklaim sebagai situs web atau klien. Data tidak dapat
dimodifikasi oleh penyerang, dan penyerang tidak akan dapat membaca data karena
dienkripsi.

 Other Common Ciphers (Cipher umum lainnya)

Cipher didefinisikan sebagai metode apa pun untuk mengenkripsi data dengan
menyembunyikan keterbacaan dan artinya. Cipher dapat berkisar dari yang sangat dasar
hingga yang sangat kompleks. Cypher sederhana dapat menyelaraskan kembali data
dalam aliran untuk menyembunyikan artinya — misalnya, mengganti karakter B dengan
angka seperti 7. Mengetahui sandi di ujung jarak jauh, Anda dapat membalikkan proses
untuk deencrypt data. Melakukan ini untuk semua huruf dalam alfabet akan membuat
sandi dasar.
Di dunia modern komputasi dan pusat data cloud, metode yang lebih kompleks digunakan
yang menggunakan kunci dan algoritma yang menggabungkan kunci dengan teks. Ada
dua jenis dasar sandi: blok sandi dan aliran sandi. Mereka berbeda mengenai bagaimana
enkripsi diterapkan. Dengan cipher blok, data dipecah menjadi blok, dan kemudian proses
enkripsi dijalankan pada setiap blok. Stream cipher menerapkan enkripsi ke setiap byte.
Cipher aliran umum dalam enkripsi simetris.
Jadi, dengan pengantar cipher dalam pikiran, mari kita selidiki beberapa cipher yang
paling umum ditemukan di dunia keamanan.
o AES adalah Standar Enkripsi Lanjutan. Ini adalah cipher blok simetris yang memiliki
opsi untuk menggunakan tiga panjang, termasuk 128, 192, dan 256 bit. Dengan
enkripsi, semakin lama panjang kuncinya, semakin sulit dan lebih lama untuk
memecahkan enkripsi. AES 256 adalah standar yang sangat aman, dan itu akan
memakan waktu yang sangat lama dan banyak kekuatan pemrosesan untuk
mendekati memecahkan kode. Kunci 256-bit yang sangat panjang digunakan untuk
mengenkripsi dan mendekripsi lalu lintas, dan kunci yang sama digunakan di kedua
arah. AES juga mengimplementasikan beberapa fungsi hash untuk lebih melindungi
dan mengenkripsi data. AES telah disetujui dan diadopsi oleh banyak pemerintah,
termasuk Amerika Serikat dan Kanada, untuk mengenkripsi data sensitif. AES juga
telah diadopsi sebagai standar oleh Institut Nasional Standar dan Teknologi.
o 3DES, atau Triple Encryption Standard Standard, dikembangkan pada tahun 1977 dan
sebagian besar telah digantikan oleh AES. 3DES juga merupakan sandi simetris dan
merupakan perpanjangan dari standar DES, yang dianggap lemah dan dapat dengan
mudah dikompromikan. Tiga kunci enkripsi dari berbagai panjang digunakan. Kunci
pertama digunakan untuk mengenkripsi blok data, kunci kedua kemudian digunakan
untuk mendekripsi blok, dan kunci ketiga digunakan untuk mengenkripsi lagi. Fungsi
tiga enkripsi ini pada setiap blok data dibalik untuk mendekripsi data.
o RSA dinamai sesuai dengan pengembang protokol, Ron Rivest, Adi Shamir, dan
Leonard Adleman. RSA adalah implementasi enkripsi asimetris yang menggunakan
kunci pribadi dan kunci publik. PKI adalah kerangka kerja yang menggunakan protokol
seperti RSA untuk enkripsi. Dengan PKI dan RSA, implementasi umum akan untuk
protokol asimetris menggunakan pasangan kunci publik dan pribadi seperti RSA untuk
 mengatur koneksi terenkripsi untuk bertukar kunci simetris. Kemudian kunci simetris
digunakan untuk melakukan enkripsi dan dekripsi massal karena lebih cepat dan
memerlukan pemrosesan lebih sedikit.
o DSA adalah singkatan dari Digital Signature Algorithm. Ini beroperasi dengan cara
yang sama seperti RSA tetapi lebih lambat dari RSA untuk enkripsi tetapi lebih cepat
untuk dekripsi. Meskipun DSA dan RSA melayani fungsi yang sama dan beroperasi
dengan cara yang hampir sama, RSA lebih umum ditemukan dalam implementasi
cloud.
o RC4 (Rivest Cipher 4) diberi nama sesuai nama pengembangnya, Ronald Rivest. Ini
menggunakan kunci bersama untuk mengenkripsi dan mendekripsi aliran data. RC4
umumnya digunakan untuk mengamankan koneksi nirkabel dan transaksi web
sebagai protokol enkripsi yang digunakan dalam SSL. Telah ditemukan rentan
terhadap kompromi oleh peretas dan tidak lagi digunakan. Sebagian besar browser
dan implementasi keamanan tidak lagi mendukung RC4.
o RC5 (Rivest Cipher 5) adalah pengganti RC4. Ini juga merupakan algoritma cipher
blok simetris yang menggunakan kunci variabel-panjang.
Cloud Service Models and Security
Model dan Keamanan Layanan Cloud

Seperti yang akan Anda ingat dari Bab 1, ada tiga model layanan cloud utama yang
menentukan demarkasi layanan apa yang ditawarkan oleh penyedia layanan cloud.
Tawaran paling mendasar adalah Infrastruktur sebagai Layanan. Dalam model layanan ini,
penyedia layanan akan bertanggung jawab untuk semua infrastruktur cloud hingga tingkat
hypervisor. Pelanggan bertanggung jawab untuk VM dan lebih tinggi, seperti yang ditunjukkan
pada Gambar 3.2.

Platform as a Service menawarkan komputasi dan sistem operasi sebagai layanan dan
memungkinkan pelanggan untuk menginstal aplikasi mereka di platform cloud. Demarkasi
keamanan untuk PaaS adalah bahwa penyedia cloud memikul tanggung jawab untuk
keamanan hingga sistem operasi, dan pelanggan mengelola konfigurasi aplikasi dan sistem
operasi, seperti yang ditunjukkan pada Gambar 3.3.

The Software as a Service model is where the customer of the service accesses application
software that is owned and controlled by the cloud company, which has complete responsibility
for the management and support of the application, as shown in Figure 3.4. All networking,
processing, storage, and applications are offered as services in this model.
Applying Access Controls
Menerapkan Kontrol Akses

Di bagian ini, Anda akan belajar tentang kontrol akses pengguna, yang merupakan
kemampuan untuk mengidentifikasi pengguna di lingkungan cloud Anda. Anda kemudian
dapat menerapkan hak akses untuk menentukan apa yang diizinkan untuk dilakukan pada
jaringan. Anda akan mulai dengan melihat pemberian hak berdasarkan pada peran pengguna
administratif di jaringan. Maka Anda akan belajar tentang perbedaan antara kontrol akses
wajib dan diskresioner. Untuk menambah keamanan, Anda harus menggunakan beberapa
langkah untuk masuk ke jaringan; ini disebut sebagai otentikasi multifaktor, yang akan dibahas
juga. Akhirnya, konsep federasi akan diperkenalkan dan dijelaskan.

 Role-Based Access Control (Kontrol Akses Berbasis Peran)

Kontrol akses berbasis peran (RBAC) adalah metode di mana hak akses diberikan
kepada, atau dibatasi dari, pengguna berdasarkan pada peran yang mereka lakukan
dalam suatu organisasi. RBAC menggunakan berbagai tingkat izin yang ditetapkan untuk
menetapkan kegiatan rutin dan memungkinkan dan membatasi akses ke sumber daya
cloud berdasarkan peran ini. Peran didefinisikan berdasarkan tugas, dan pengguna
kemudian ditugaskan ke peran tersebut. Berdasarkan izin yang diizinkan dalam peran,
pengguna akan mewarisi hak-hak itu. Apa sebenarnya peran itu? Ini bisa berupa apa saja
yang Anda putuskan untuk didefinisikan sebagai. Banyak peran umum didefinisikan dalam
aplikasi, sistem operasi, dan peralatan jaringan.

 Mandatory Access Control (Kontrol Akses Wajib)

Pendekatan kontrol akses wajib (MAC) sering ditemukan di lingkungan dengan keamanan
tinggi di mana akses ke data sensitif perlu dikontrol dengan ketat. Menggunakan
pendekatan MAC, pengguna akan mengotentikasi, atau masuk ke, suatu sistem.
Berdasarkan pada identitas pengguna dan tingkat keamanan individu, hak akses akan
ditentukan dengan membandingkan data tersebut dengan properti keamanan sistem yang
sedang diakses. Misalnya, jika pengguna memiliki hak untuk mengelola dan
mengkonfigurasi hypervisor di pusat data cloud, informasi di profil pengguna dapat
menunjukkan bahwa pengguna tersebut memiliki hak manajemen hypervisor.
Berdasarkan data ini, akun dapat dibuat hanya untuk pengguna dengan hak manajemen
hypervisor, dan karena cocok, pengguna tersebut akan diberikan akses.
Sistem MAC sangat terkontrol. Akses ditentukan oleh tingkat akses yang ketat yang umum
di lingkungan yang aman seperti sistem pertahanan atau keuangan. Implementasi umum
dari sistem MAC akan memungkinkan akses yang cukup terbuka pada tingkat sensitivitas
data yang lebih rendah, dengan kontrol yang lebih ketat atas data yang lebih sensitif.
Sistem MAC dikendalikan secara terpusat menggunakan kebijakan keamanan yang
ditentukan untuk memberikan akses ke suatu sistem atau data. Pengguna tidak memiliki
kemampuan untuk mengubah atau menimpa kebijakan ini dan memberikan akses ke
pengguna lain.

 Discretionary Access (Akses Discretionary)

Kontrol akses diskresioner berbeda dari kontrol akses wajib dengan memberikan
pengguna kemampuan untuk memberikan atau menetapkan hak atas objek dan membuat
 keputusan untuk diri mereka sendiri dibandingkan dengan metode yang dikendalikan
secara terpusat yang digunakan oleh kontrol akses wajib.
Pengguna dengan kontrol atas sistem atau direktori data, misalnya, dapat menggunakan
hak kontrol akses diskresi mereka untuk memberikan hak kepada pengguna atau sistem
lainnya ke sistem dan direktori tersebut. Pendekatan kebijaksanaan memungkinkan
pengguna dengan izin yang benar untuk mengelola hak. Pengguna ini memiliki objek dan
diizinkan untuk membuat keputusan tentang hak seperti keamanan, baca-saja, baca-tulis,
dan jalankan pada objek tersebut.

 Nondiscretionary Access Control (Kontrol Akses Non-Diskresi)

Kontrol akses non-diskresi menentukan seperangkat aturan untuk mengizinkan atau
menolak akses ke objek, sistem, atau layanan di cloud. Ini adalah metode kontrol akses
yang memungkinkan objek diakses berdasarkan aturan, hak istimewa, dan peran yang
menentukan akses.
Contoh-contoh akses nondiskresioner termasuk memungkinkan akses ke server
pengembangan selama jam-jam tertentu dalam sehari, memberikan pengguna kendali
penuh atas armada server atau sistem penyimpanan untuk keperluan administrasi, dan
memungkinkan kelompok pengguna tertentu untuk mengakses dokumen sensitif yang
disimpan dalam awan. Akses nondiscretionary adalah metode yang digunakan untuk
menentukan izin akses pengguna ke sumber daya cloud. Anda akan menemukan bahwa
akses nondiskresi dan akses berbasis peran digunakan secara bergantian, dan mereka
dapat dianggap sama dalam banyak kasus.

 Multifactor Authentication (Otentikasi multifaktor)

Otentikasi multifaktor adalah teknik kontrol akses yang membutuhkan beberapa informasi
untuk diberikan akses. Implementasi multifactor biasanya mengharuskan Anda untuk
menyajikan sesuatu yang Anda tahu, seperti kombinasi nama pengguna / kata sandi, dan
sesuatu yang Anda miliki, seperti kartu pintar, sidik jari, atau nomor token yang terus
berubah dari kartu ID.
Contoh otentikasi multifaktor adalah ketika Anda menarik uang dari ATM. Otentikasi dua
faktor mencakup sesuatu yang Anda miliki, yaitu kartu ATM Anda, dan sesuatu yang Anda
tahu, yang merupakan PIN Anda.
Karena Anda memiliki lebih dari satu persyaratan untuk otentikasi untuk mengakses suatu
sistem, sistem multi-faktor secara inheren lebih aman daripada sistem faktor tunggal
seperti kombinasi nama pengguna / kata sandi.
Vendor cloud menawarkan opsi untuk otentikasi dua faktor untuk mengakses dan
mengelola penyebaran cloud Anda. Ini menambahkan lapisan kedua keamanan akses
dan merupakan langkah keamanan yang baik untuk mengadopsi kerangka kerja
multifaktor. Ada sejumlah perusahaan yang menawarkan perangkat keras pembuatan
token yang cukup kecil untuk muat di gantungan kunci Anda dan aplikasi yang dapat
diinstal pada smartphone.
Ketika Anda masuk ke konsol manajemen cloud Anda atau layanan lain, Anda akan
diminta untuk ID token, yang akan Anda baca dari generator token Anda. Anda
mengetikkan angka lima atau enam digit bersama dengan nama pengguna dan kata sandi
Anda untuk mendapatkan tiket masuk. Otentikasi multifactor banyak digunakan di cloud
dan lingkungan perusahaan.
 Single Sign-On (Sistem Masuk Tunggal)
Sistem masuk tunggal (SSO) adalah pendekatan yang mengurangi kebutuhan untuk
masuk ke beberapa sistem untuk akses. SSO memungkinkan pengguna untuk login hanya
satu kali dan diberikan hak akses ke beberapa sistem. Menggunakan SSO, Anda dapat
memusatkan otentikasi beberapa sistem menjadi hanya satu area, memudahkan
administrasi pengguna secara signifikan.
Misalnya, administrator server web mungkin perlu mengelola beberapa server web di
cloud secara bersamaan. Karena semua server web ini berada di bawah kendali
administrator ini, Anda dapat membuat grup SSO yang disebut Administrator Web, dan
ketika administrator masuk ke server, mereka diberikan akses ke semua server dalam
grup tanpa harus login ke masing-masing secara individual.
Server direktori yang menggunakan LDAP adalah contoh sistem SSO. Anda masuk ke
layanan direktori satu kali, dan berdasarkan hak-hak Anda, Anda diizinkan untuk
mengakses sistem di jaringan tanpa persyaratan login tambahan.
Sistem masuk tunggal menghilangkan kebutuhan untuk mengingat beberapa kombinasi
nama pengguna dan kata sandi dan menghemat waktu karena harus memasukkan
informasi otentikasi Anda berulang kali di seluruh jaringan.
SSO juga efektif saat mengakhiri sesi. Ketika Anda keluar, layanan direktori akan keluar,
atau memutuskan sambungan Anda, dari beberapa sistem yang Anda akses.