Nama : Ari Ghiffari

Stambuk : F55118031
Kelas :A

A. Istilah dan Konsep Dasar

Keamanan informasi adalah kumpulan teknik, teknologi, regulasi, dan perilaku yang kompleks yang
secara kolaboratif melindungi integritas dan akses ke sistem dan data komputer. Tindakan keamanan IT
bertujuan untuk mempertahankan diri dari ancaman dan gangguan yang muncul baik dari niat jahat
maupun kesalahan pengguna yang tidak disengaja.

Berikut adalah istilah keamanan dasar yang relevan dengan komputasi cloud dan menjelaskan konsep
terkait.

Kerahasiaan
Kerahasiaan adalah karakteristik dari sesuatu yang hanya dapat diakses oleh pihak yang berwenang.
Dalam lingkungan cloud, kerahasiaan terutama berkaitan dengan pembatasan akses ke data saat transit
dan penyimpanan.

Integritas
Integritas adalah karakteristik tidak diubah oleh pihak yang tidak berwenang. Masalah penting yang
menyangkut integritas data di cloud adalah apakah konsumen cloud dapat dijamin bahwa data yang
dikirimkan ke layanan cloud cocok dengan data yang diterima oleh layanan cloud tersebut. Integritas
dapat mencakup bagaimana data disimpan, diproses, dan diambil oleh layanan cloud dan sumber daya IT
berbasis cloud.

Keaslian
Keaslian adalah karakteristik dari sesuatu yang telah disediakan oleh sumber yang berwenang. Konsep ini
mencakup ketidakmampuan salah satu pihak untuk menolak atau menantang otentikasi suatu interaksi.
Otentikasi dalam interaksi yang tidak dapat disangkal memberikan bukti bahwa interaksi ini ditautkan
secara unik ke sumber resmi. Misalnya, pengguna mungkin tidak dapat mengakses file non-repudiable
setelah menerima tanpa membuat catatan akses ini.

Ketersediaan
Ketersediaan adalah karakteristik yang dapat diakses dan digunakan selama jangka waktu tertentu. Dalam
lingkungan cloud yang khas, ketersediaan layanan cloud dapat menjadi tanggung jawab yang dimiliki
bersama oleh penyedia cloud dan operator cloud. Ketersediaan solusi berbasis cloud yang menjangkau
konsumen layanan cloud selanjutnya dibagikan oleh konsumen cloud.

Ancaman
Ancaman adalah kemungkinan pelanggaran keamanan yang dapat menantang pertahanan dalam upaya
melanggar privasi atau menyebabkan kerusakan. Ancaman yang dipicu secara manual dan otomatis
dirancang untuk mengeksploitasi kelemahan yang diketahui, yang juga disebut sebagai kerentanan.
Ancaman yang dilakukan menghasilkan serangan.
Kerentanan
Kerentanan adalah kelemahan yang dapat dieksploitasi baik karena dilindungi oleh kontrol keamanan
yang tidak memadai, atau karena kontrol keamanan yang diatasi dengan serangan. Kerentanan sumber
daya IT dapat disebabkan oleh berbagai hal, termasuk kekurangan konfigurasi, kelemahan kebijakan
keamanan, kesalahan pengguna, cacat perangkat keras atau firmware, bug perangkat lunak, dan arsitektur
keamanan yang buruk.

Resiko
Resiko adalah kemungkinan kerugian atau kerugian yang timbul dari melakukan suatu aktivitas. Resiko
biasanya diukur menurut tingkat ancamannya dan jumlah kerentanan yang mungkin atau diketahui. Dua
metrik yang dapat digunakan untuk menentukan resiko sumber daya IT adalah:
• kemungkinan terjadinya ancaman untuk mengeksploitasi kerentanan dalam sumber daya IT
• ekspektasi kerugian atas sumber daya IT yang dikompromikan

Kontrol Keamanan
Kontrol keamanan adalah tindakan pencegahan yang digunakan untuk mencegah atau merespon ancaman
keamanan dan untuk mengurangi atau menghindari resiko. Detail tentang cara menggunakan tindakan
penanggulangan keamanan biasanya diuraikan dalam kebijakan keamanan, yang berisi serangkaian aturan
dan praktik yang menentukan cara menerapkan sistem, layanan, atau rencana keamanan untuk
perlindungan maksimum sumber daya IT yang sensitif dan kritis.

Mekanisme Keamanan
Tindakan penanggulangan biasanya dijelaskan dalam istilah mekanisme keamanan, yang merupakan
komponen yang terdiri dari kerangka kerja defensif yang melindungi sumber daya, informasi, dan layanan
IT.

Kebijakan Keamanan
Kebijakan keamanan menetapkan seperangkat aturan dan regulasi keamanan. Seringkali, kebijakan
keamanan akan menjelaskan lebih jauh bagaimana aturan dan regulasi ini diterapkan dan ditegakkan.
Misalnya, posisi dan penggunaan kontrol dan mekanisme keamanan dapat ditentukan oleh kebijakan
keamanan.

Ringkasan
• Kerahasiaan, integritas, keaslian, dan ketersediaan adalah karakteristik yang dapat dikaitkan dengan
pengukuran keamanan.
• Ancaman, kerentanan, dan risiko dikaitkan dengan mengukur dan menilai ketidakamanan, atau
kurangnya keamanan.
• Kntrol, mekanisme, dan kebijakan keamanan dikaitkan dengan penetapan tindakan pencegahan dan
perlindungan untuk mendukung peningkatan keamanan.

B. Agen Ancaman
Agen ancaman adalah entitas yang menimbulkan ancaman karena mampu menangani serangan. Ancaman
keamanan cloud dapat berasal baik secara internal maupun eksternal, dari manusia atau program
perangkat lunak.
Penyerang Anonim
Penyerang anonim adalah konsumen layanan cloud yang tidak tepercaya tanpa izin di cloud. Ini biasanya
sebagai program perangkat lunak eksternal yang meluncurkan serangan tingkat jaringan melalui jaringan
publik. Ketika penyerang anonim memiliki informasi terbatas tentang kebijakan dan pertahanan
keamanan, hal itu dapat menghambat kemampuan mereka untuk merumuskan serangan yang efektif. Oleh
karena itu, penyerang anonim sering kali melakukan tindakan seperti melewati akun pengguna atau
mencuri kredensial pengguna, saat menggunakan metode yang memastikan anonimitas atau memerlukan
sumber daya yang substansial untuk penuntutan.

Agen Layanan Berbahaya

Agen layanan jahat mampu mencegat dan meneruskan lalu lintas jaringan yang mengalir di dalam cloud.
Ini biasanya ada sebagai agen layanan atau program yang berpura-pura menjadi agen layanan dengan
logika yang disusupi atau berbahaya. Ini mungkin juga sebagai program eksternal yang dapat mencegat
dan berpotensi merusak konten pesan dari jarak jauh.

Penyerang Tepercaya
Penyerang tepercaya berbagi sumber daya IT di lingkungan cloud yang sama dengan konsumen cloud dan
mencoba memanfaatkan kredensial yang sah untuk menargetkan penyedia cloud dan penyewa cloud yang
dengannya mereka berbagi sumber daya. Tidak seperti penyerang anonim yang tidak tepercaya,
penyerang tepercaya biasanya meluncurkan serangan mereka dari dalam batas kepercayaan cloud dengan
menyalahgunakan kredensial yang sah atau melalui perampasan informasi sensitif dan rahasia.

Penyerang tepercaya dapat menggunakan sumber daya IT berbasis cloud untuk berbagai eksploitasi,
termasuk peretasan proses otentikasi yang lemah, pemecahan enkripsi, pengiriman spam akun email, atau
untuk meluncurkan serangan umum, seperti kampanye penolakan layanan.

Orang Dalam yang Berbahaya

Orang dalam yang berniat jahat adalah agen ancaman manusia yang bertindak atas nama atau terkait
dengan penyedia cloud. Mereka biasanya adalah mantan karyawan atau pihak ketiga dengan akses ke
lokasi penyedia cloud. Jenis agen ancaman ini membawa potensi kerusakan yang luar biasa, karena orang
dalam yang jahat mungkin memiliki hak administratif untuk mengakses sumber daya IT konsumen cloud.

Ringkasan
• Penyerang anonim adalah agen ancaman tidak tepercaya yang biasanya mencoba menyerang dari luar
batas cloud.
• Agen layanan yang bermaksud jahat menyadap komunikasi jaringan dalam upaya untuk menggunakan
atau menambah data secara jahat.
• Penyerang tepercaya hadir sebagai konsumen layanan cloud resmi dengan kredensial sah yang
digunakannya untuk mengeksploitasi akses ke sumber daya TI berbasis cloud.
• Orang dalam yang berniat jahat adalah manusia yang mencoba menyalahgunakan hak akses ke lokasi
cloud.

C. Ancaman Keamanan Cloud

Bagian ini memperkenalkan beberapa ancaman dan kerentanan umum di lingkungan berbasis cloud dan
menjelaskan peran agen ancaman.

Penyadapan Lalu Lintas

Penyadapan lalu lintas terjadi ketika data yang ditransfer ke atau dalam cloud (biasanya dari konsumen
cloud ke penyedia cloud) secara pasif dicegat oleh agen layanan jahat untuk tujuan pengumpulan
informasi yang tidak sah. Tujuan dari serangan ini adalah untuk secara langsung membahayakan
kerahasiaan data dan mungkin kerahasiaan hubungan antara konsumen cloud dan penyedia cloud. Karena
sifat serangannya yang pasif, serangan itu dapat lebih mudah tidak terdeteksi untuk waktu yang lama.

Perantara Berbahaya
Ancaman perantara yang berbahaya muncul saat pesan dicegat dan diubah oleh agen layanan jahat,
sehingga berpotensi membahayakan kerahasiaan atau integritas pesan. Mungkin juga menyisipkan data
berbahaya ke dalam pesan sebelum meneruskannya ke tujuannya.
Agen layanan yang berbahaya menyadap dan mengubah pesan yang dikirim oleh konsumen layanan
cloud ke layanan cloud (tidak ditampilkan) yang di-host di server virtual. Karena data berbahaya dikemas
ke dalam file pesan, server virtual dikompromikan.

Kegagalan layanan
Tujuan dari serangan penolakan layanan adalah untuk membebani sumber daya IT secara berlebihan ke
titik di mana mereka tidak dapat berfungsi dengan baik. Bentuk serangan ini biasanya diluncurkan dengan
salah satu cara berikut:
• Beban kerja pada layanan cloud meningkat secara artifisial dengan pesan imitasi atau permintaan
komunikasi berulang.
• Jaringan kelebihan beban lalu lintas untuk mengurangi daya tanggap dan melumpuhkan kinerjanya.
• Beberapa permintaan layanan cloud dikirim, yang masing-masing dirancang untuk menghabiskan
memori dan sumber daya pemrosesan yang berlebihan.

Otorisasi Tidak Cukup

Serangan otorisasi yang tidak memadai terjadi ketika akses diberikan kepada penyerang secara keliru atau
terlalu luas, sehingga penyerang mendapatkan akses ke sumber daya IT yang biasanya dilindungi. Hal ini
sering terjadi karena penyerang mendapatkan akses langsung ke sumber daya IT yang diterapkan dengan
asumsi bahwa sumber daya tersebut hanya akan diakses oleh program konsumen tepercaya

Serangan Virtualisasi
Virtualisasi memberi banyak konsumen cloud akses ke sumber daya IT, berbagi perangkat keras yang
mendasarinya tetapi secara logis diisolasi satu sama lain. Karena penyedia cloud memberikan akses
administratif kepada konsumen cloud ke sumber daya IT virtual seperti server virtual, terdapat risiko yang
melekat bahwa konsumen cloud dapat menyalahgunakan akses ini untuk menyerang sumber daya IT fisik
yang mendasarinya.

Jika sumber daya IT fisik dalam cloud digunakan bersama oleh konsumen layanan cloud yang berbeda,
konsumen layanan cloud ini memiliki batas kepercayaan yang tumpang tindih. Konsumen layanan cloud
yang berbahaya dapat menargetkan sumber daya IT bersama dengan tujuan mengorbankan konsumen
cloud atau sumber daya IT lain yang memiliki batas kepercayaan yang sama. Konsekuensinya adalah
bahwa beberapa atau semua konsumen layanan cloud lainnya dapat terkena dampak serangan dan
penyerang dapat menggunakan sumber daya IT virtual untuk melawan orang lain yang kebetulan juga
memiliki batas kepercayaan yang sama.

Serangan Kontainer
Penggunaan containerization menyebabkan kurangnya isolasi dari tingkat sistem operasi host. Karena
kontainer yang ditempatkan pada mesin yang sama memiliki sistem operasi host yang sama, ancaman
keamanan dapat meningkat karena akses ke seluruh sistem dapat diperoleh. Jika host yang mendasarinya
disusupi, semua penampung yang berjalan di host tersebut dapat terpengaruh.

Wadah dapat dibuat dari dalam sistem operasi yang berjalan di server virtual. Hal ini dapat membantu
memastikan bahwa jika terjadi pelanggaran keamanan yang berdampak pada sistem operasi tempat
kontainer berjalan, penyerang hanya dapat memperoleh akses dan mengubah sistem operasi server virtual
atau kontainer yang berjalan di satu server virtual, sedangkan server virtual lainnya (server fisik) tetap
utuh.

D. Pertimbangan Tambahan
Bagian ini memberikan daftar periksa beragam masalah dan pedoman yang terkait dengan keamanan
cloud. Pertimbangan yang tercantum tidak dalam urutan tertentu.

Penerapan yang Cacat

Desain, implementasi atau konfigurasi penerapan layanan cloud di bawah standar mungkin tidak
diinginkan. Jika perangkat lunak atau perangkat keras penyedia cloud memiliki kelemahan keamanan
yang melekat atau kelemahan operasional, penyerang dapat memanfaatkan kerentanan ini untuk merusak
integritas, kerahasiaan atau ketersediaan sumber daya IT penyedia awan dan sumber daya IT konsumen
cloud yang dihosting oleh penyedia cloud.

Disparitas Kebijakan Keamanan

Ketika konsumen cloud menempatkan sumber daya IT dengan penyedia cloud publik, konsumen tersebut
mungkin perlu menerima bahwa pendekatan keamanan informasi tradisionalnya mungkin tidak identik
atau bahkan mirip dengan yang ada di penyedia cloud. Ketidaksesuaian ini perlu dinilai untuk
memastikan bahwa setiap data atau aset IT lainnya yang dipindahkan ke cloud publik terlindungi secara
memadai. Bahkan ketika menyewa sumber daya IT berbasis infrastruktur mentah, konsumen cloud
mungkin tidak diberikan kendali administratif yang memadai atau pengaruh atas kebijakan keamanan
yang berlaku untuk sumber daya IT yang disewa dari penyedia cloud. Ini terutama karena sumber daya IT
tersebut masih dimiliki secara hukum oleh penyedia cloud dan terus berada di bawah tanggung jawabnya.

Kontrak
Konsumen cloud perlu memeriksa kontrak yang diajukan oleh penyedia cloud dengan cermat untuk
memastikan bahwa kebijakan keamanan, dan jaminan relevan lainnya, memuaskan dalam hal keamanan
asset. Semakin besar tanggung jawab yang ditanggung oleh penyedia cloud, semakin rendah resiko bagi
konsumen cloud. Aspek lain dari kewajiban kontrak adalah di mana garis ditarik antara konsumen cloud
dan aset penyedia cloud. Konsumen cloud yang menerapkan solusinya sendiri pada infrastruktur yang
disediakan oleh penyedia cloud akan menghasilkan arsitektur teknologi yang terdiri dari artefak yang
dimiliki oleh konsumen cloud dan penyedia cloud.

Manajemen risiko
Saat menilai potensi dampak dan tantangan yang berkaitan dengan adopsi cloud, konsumen cloud
didorong untuk melakukan penilaian resiko formal sebagai bagian dari strategi manajemen resiko. Sebuah
proses yang dijalankan digunakan untuk meningkatkan keamanan strategis dan taktis, manajemen risiko
terdiri dari serangkaian kegiatan terkoordinasi untuk mengawasi dan mengendalikan resiko. Kegiatan
utama secara umum didefinisikan sebagai penilaian risiko, perlakuan risiko dan pengendalian risiko.

• Penilaian Risiko, dalam tahap penilaian resiko, lingkungan cloud dianalisis untuk mengidentifikasi
potensi kerentanan dan kekurangan yang dapat dieksploitasi oleh ancaman. Penyedia cloud dapat diminta
untuk membuat statistik dan informasi lain tentang serangan di masa lalu yang dilakukan di cloudnya.
Resiko yang teridentifikasi dikuantifikasi dan dikualifikasikan sesuai dengan probabilitas kejadian dan
tingkat dampak terkait dengan bagaimana konsumen cloud berencana untuk memanfaatkan sumber daya
IT berbasis cloud.

• Perlakuan Risiko, kebijakan dan rencana mitigasi dirancang selama tahap perlakuan resiko dengan
maksud untuk berhasil menangani resiko yang ditemukan selama penilaian resiko. Beberapa resiko dapat
dihilangkan, yang lain dapat dikurangi, sementara yang lain dapat ditangani melalui outsourcing atau
bahkan dimasukkan ke dalam anggaran asuransi dan kerugian operasi. Penyedia cloud itu sendiri
mungkin setuju untuk memikul tanggung jawab sebagai bagian dari kewajiban kontraktualnya.

• Pengendalian Risiko, tahap pengendalian resiko terkait dengan pemantauan resiko, proses tiga langkah
yang terdiri dari survei peristiwa terkait, meninjau peristiwa ini untuk menentukan efektivitas penilaian
dan perlakuan sebelumnya, dan mengidentifikasi kebutuhan penyesuaian kebijakan. Bergantung pada
sifat pemantauan yang diperlukan, tahap ini dapat dilakukan atau dibagikan oleh penyedia cloud.

Ringkasan
• Konsumen cloud perlu menyadari bahwa mereka mungkin menimbulkan resiko keamanan dengan
menerapkan solusi berbasis cloud yang cacat.
• Pemahaman tentang bagaimana penyedia cloud mendefinisikan dan memberlakukan kepemilikan, dan
mungkin tidak kompatibel, kebijakan keamanan cloud adalah bagian penting dalam membentuk kriteria
penilaian saat memilih vendor penyedia cloud.
• Tanggung jawab, ganti rugi dan kesalahan atas potensi pelanggaran keamanan perlu didefinisikan
dengan jelas dan dipahami bersama dalam perjanjian hukum yang ditandatangani oleh konsumen cloud
dan penyedia cloud.
• Penting bagi konsumen cloud, setelah mendapatkan pemahaman tentang potensi masalah terkait
keamanan yang spesifik untuk lingkungan cloud tertentu, untuk melakukan penilaian terkait resiko yang
teridentifikasi.