Cloud Computing

Antonius Yosiko
125130397
Stefanus Kurniawan
125130286
Sugim Winata
125130397

Managing Cloud
Computing Risk
Cloud
subscriber
Resiliency
and
Availability

Security
Operations
Application
Development

Enterprise
Resource
Planning (ERP)

Risk management
Mitigate
principles
Transfer
Bear

Mendefinisikan kembali kebijakan dan standar keberlanjutan operasi untuk

replikasi data dan backup
Menetapkan kembali ketersediaan metric dan standar
Menciptakan kebijakan dan standar keamanan operasi secara eksplisit untuk cloud
computing
Mempertimbangkan pendekatan berbasis kebijakan untuk secara konsisten
menggunakan jasa cloud
Menggunakan kebijakan dan standar daur hidup pengembangan software
berdasarkan kerangka yang umum
Menggunakan, meluncurkan dan mengubah kebijakan manajemen

Menetapkan kebijakan dan standar keamanan untuk manajemen ERP dan

penggunaan data yang diperbolehkan
Mendefinisikan penggunaan modul dan database yang diperbolehkan

Managing Cloud
Computing Risk
Cloud
provider

Resiliency
and
Availability

Security
Operations

Risk management
Mitigate
principles
Transfer
Bear

Mendefinisikan proses untuk replikasi, failover, dan rekonstitusi jasa terkait

gangguan
Menilai kembali ketersediaan komitmen dan hasil uji ketaatan dengan SLAs
Menciptakan Security Operation Center (SOC)
Mendefinisikan kemampuan penilaian, pelaporan, dan respons
Mempertimbangkan pendekatan berbasis kebijakan untuk secara konsisten memanage
cloud systems

Application
Development

Enterprise
Resource
Planning (ERP)

Menciptakan review kode pada tingkat aplikasi, memperketat proses SDLC, dan
menyediakan notifikasi untuk manajemen perubahan dan peluncuran
Menawarkan proses penerimaan perubahan mandiri

Menetapkan zona keamanan, proteksi data, dan proses penyediaan

akses
Menawarkan autentikasi yang kuat dengan kemampuan Single Sign On
berdasarkan peran pelanggan

Risk-Based Approach
Memahami berbagai model cloud dan ancaman yang terkait dan kelemahan
akan membantu memanage risiko
Service
Delivery
Risk

Mengevaluasi
risiko virtualisasi

Mengevaluasi
risiko SaaS
Mengevaluasi

risiko PaaS
Mengevaluasi
risiko IaaS

Deployment
Risk

Memahami risiko
public cloud
Memahami
risiko private

cloud
Memahami
risiko hybrid
cloud

Business
Model
Risk

Mengevaluasi
risiko cloud
consumer
Mengevaluasi
risiko cloud
provider

Security
Risk

Menganalisi
s risiko
keamanan

---

Other
Risks

Beberapa Alat dan Kerangka untuk Cloud Computing

- NIST SP 800-53, NIST SP 800-144, SP 800-30
- Deloitte Cloud Computing Risk Intelligence Map
- Cloud Security Alliance - Cloud Controls Matrix
- ISACA Cloud Computing Audit Program
- Federal Risk and Authorization Management Program - (FedRAMP)
FedRAMP Security Controls
Baseline
Version 1.0
Control Parameter

Control Number
and Name

Additional
Requirements
and Guidance

- Shared Assessments - Standard Information Gathering (SIG 7.0)

AC-1

AC-2

Access AC-1
Control
Policy and
Procedure
s

Account AC-2
Managem
e nt

Requirements

AC-1

1.1. Access
ControlAC-1
(AC)

None.

Control Specification

[Assignment: organization-defined
frequency] Parameter: [at least annually]

Control Area

Compliance - Audit

AC-2

AC-2
(1)
AC-2
(2)

AC-2
(3)

AC-2
(4)
AC-2 (7)

AC-2 (2)
[Assignment: organization-defined time period for
each
type of account (tV em. pCorloaruydand
Parameter: [no more than

emer
nin32gen
et4Tcy)]
yodaccount
tal ayQsue fs ot riotn es mtopobe raA rnys w ae nr
emergency
de d
types]
AC-2 (3)
AC-2 (3)
Que stionnaire Ins tructions:
[Assignment: orgFaonriezaac thioqnu- edsetiofinnechdootisme ee iptheerrioYdes], No or N/A froRmetqheuidrreompQues Num
Ques tion/Re ques t
eenu sepr
ideuser
edp. rI of Nvi/Adeisr cdheofsietime
nespons
,s
anth
xplanation
is
edo nw t:nT mh[ninety
rovv icfor
nRe
e eefor
Parameter:
days
period
non-user
accounts
accounts]
(e.g.,
accounts
with
devices).
Are Cloud Se rvices provided? If
s o, w hat sassociated
ervice m ode l is
provided
(sele ct The
all
V.1
apply):
that
time
periods are approved and accepted by the
V .1.1
Softw are as a Ser vice (SaaS)?JAB.
V .1.2

Platform as a Se rvice (PaaS)?

V .1.3

Infrastructure as a Se rvice (IaaS)?

V.1.4

W hat deployments models are provided (select all that apply):

V.1.4.1

Private cloud?
Public cloud?

V.1.4.3

Com m unity cloud?

V.1.4.4

Hybrid cloud?

udit plans, activities and operational

action ems focusing on data

V.1.5.1
V.1.5.2

W here is the cloud inf rastructure hosted:

m andatory. Use the "Additional Inform ation" fie ld to the right of the que stion. Click on the instruction pop-up box and drag if ne ces s ary.
Additional Inform ation

Se rvice Model

De ploym ent M ode l

AUP Re fere nce

ISO Re f Num

4.1

4.2

N/A

4.1
4.2

V.1.5.5
V.1.5.6
V.1.5.7
V.1.5.8

V .1.6

4.1
4.2
N/A
N/A

Co-Location: dedicated cabinet?

Co-Location: shared cabinet?
Co-Location: dedicated cage?
Co-Location: shared cage?
Cloud provider: e.g. AW S?

W hat legal juris diction does data reside in (selec t all that apply):

Compliance - Third
Party Audits

CO-03

App

Data

nt reviews and assessments

shall performed at least annually, or at
planned tervals, to ensure the
organization is ompliant with policies,
procedures, tandards and

Tapplicable regulatory
dem rements (i.e., internal/external
s
audits, ertifications, vulnerability
defi

and penetration

ting)
in
reports
audi
hird

party service providers shall

gov onstrate compliance with

N/A

Co-Location: dedic ated s erv er?

Co-Location: shared server?

V.1.5.4

Storage

must be anned and agreed upon in

advance by takeholders.
Pe rcent Com plete

Datacenter: single tenancy?

V.1.5.3

Relevan
ce

Comput
e

0%

N/A N/A N/A N/A

V.1.5

NetworkArchitect
ural

Compliance CO-02 Independe

duplication, access,
Independent Audits
be
in data boundary limitations shall
c s be igned to minimize the risk of
business
requi
c tes
ess disruption. Audit activities

N/A

V.1.4.2

Phys

CO-01 A
Planning

it
and
des
pro
c pl
s

AC-2j.
[Assignment: organization-defined
frequency] Parameter: [at least annually]

Control Notes

Control ID

N/A
N/A
N/A
N/A
N/A

15.1.1

V.1.6.1

USA ?

N/A

V.1.6.2

Canada?

N/A

V.1.6.3

Asia?

N/A

information
ecurity and confidentiality,
service nitions and delivery
level agreements
cluded in third party contracts.
Third party
, records and services shall
undergo t and review, at planned
intervals, to
ern and maintain compliance
with the ervice delivery
agreements.
s

National Institute of Standards and

Technology
Kegunaan dan Manfaat
NIST SP 800-30
Sebagai pengguna atau penyedia jasa, untuk
mengevaluasi lingkungan cloud computing suatu
perusahaan, dapat menggunakan standar penilaian risiko
yang diterima umum
The National Institute of Standards and Technology
(NIST) SP 800- 30 Risk Management Guide for
Information Technology Systems mendefinisikan
aktivitas penilaian risiko dalam 9 langkah:
NIST SP 800-144
Public Clouds Panduan keamanan dan privasi dalam
public clouds
NIST SP 800-53
Pengendalian privasi dan keamanan untuk sistem

Cloud Advantages
Capacity Planning: Cloud Provider menjamin keberadaan sumber daya
yang dibutuhkan user.
Variable Load Planning: Tingkat pelayanan untuk variable load handling
bisa dijadikan suatu perjanjian dengan Cloud Computing Provider untuk
menangani muatan berlebih pada hardware dan jaringan.
Pay as you go: Dengan menggunakan cloud computing, bisa
menurunkan biaya hardware, software, infrastruktur, power, dan
jaringan.
Response time: Waktu tanggapan dan ketersediaan bisa lebih baik
karena infrastruktur Cloud Provider yang lebih besar.
Time to market: Peningkatan dan pengembangan sistem bisa
diimplementasikan dalam waktu yang minimal

Cloud Disadvantages
Confidentiality and Security: Data terekspos pada Cloud-Computing
Provider
Mission-critical Applications: Saat sebuah aplikasi bersifat critical,
organisasi akan cenderung tidak mau meng-outsource tanggung jawab.
Availability and Contingency Planning: Beberapa organisasi mungkin
kurang suka menerima garansi Cloud Providers tanpa kemampuan untuk
mengaudit secara independen efektivitas dan mentest sistem.
Service Level Agreement Monitoring: Monitoring bisa menjadi masalah
bila Service Providers mempunyai basis klien yang besar dan tanpa
kontrol langsung terhadap intensitas workload antar klien.
Cost Control: Mengontrol biaya yang digunakan sehingga hanya
menggunakan apa yang mampu dibayar.