Mengawasi Cloud Security sangat penting untuk kesuksesan jangka panjang dan pertumbuhan bisnis.
Menurut penelitian yang dilakukan oleh salah satu perusahaan keamanan TI terkemuka, 80% organisasi menyimpan data sensitif di cloud, sementara 53% mengalami serangan siber pada infrastruktur cloud mereka dalam 12 bulan terakhir.
Mengingat betapa lazimnya serangan siber dan biaya yang ditimbulkannya, fitur keamanan harus menjadi pertimbangan utama saat memilih Cloud Service Provider. Anda harus memahami tanggung jawab keamanan Anda sendiri di bidang ini.
Di bawah ini, kami menguraikan kewajiban keamanan Anda di cloud dan melihat pro dan kontra dari tiga pemimpin pasar, Amazon Web Services (AWS), Microsoft Azure, dan Google Cloud Platform (GCP).
Cloud Security: kewajiban Anda vs kewajiban Cloud Provider Anda
Pengalihdayaan ke Cloud Provider tidak memungkinkan Anda melakukan outsourcing semua kewajiban keamanan Anda. Meskipun Cloud Provider bertanggung jawab atas beberapa aspek keamanan, Anda tetap bertanggung jawab atas aspek lainnya.
Hal ini dikenal sebagai ‘shared responsibility model’. Meskipun Cloud Provider perlu mengamankan aset fisik dan produk itu sendiri, mereka tetap harus memenuhi persyaratan keamanan, tata kelola, dan kepatuhan utama.
Dengan kata lain, Cloud Provider Anda bertanggung jawab menjaga Cloud Security. Anda bertanggung jawab untuk menjaga keamanan di cloud saat Anda menggunakannya.
Misalnya, penyedia Anda harus dapat melindungi Anda dari upaya login brute force, namun tanggung jawab untuk meminimalkan ancaman yang disebabkan oleh kesalahan atau niat jahat pengguna berada di tangan Anda.
Amazon Web Services, Microsoft Azure, dan Google Cloud Platform: apa perbedaannya?
Tiga Cloud Service Provider yang memimpin pasar – AWS, Microsoft Azure, dan GCP – saat ini menguasai 62% pasar, secara gabungan tumbuh sebesar 42% pada kuartal pertama tahun 2022. Hal ini tidak mengejutkan, mengingat percepatan digitalisasi akibat COVID dalam dua tahun terakhir dan fokus pada masalah keamanan.
Meskipun masing-masing penyedia memiliki kelebihannya masing-masing, ketiganya menawarkan serangkaian fitur keamanan yang tangguh untuk membantu menjaga organisasi Anda dan data berharga tetap aman. Terlepas dari penyedia mana yang Anda pilih, harapkan kinerja yang kuat di bidang berikut:
- Firewall: penghalang virtual yang memantau lalu lintas masuk dan keluar jaringan Anda, memblokir aktivitas mencurigakan
- Encryption in transit: enkripsi untuk melindungi data Anda saat berpindah antara situs Anda dan Cloud Provider atau antar layanan
- Compliance management: sertifikasi untuk standar dan fitur kepatuhan utama untuk membantu pengguna tetap mematuhi peraturan data seperti GDPR
- IaaS DDoS protection: fitur yang dirancang untuk menangkal serangan DDoS, seperti perangkat lunak pendeteksi dan peningkatan bandwidth untuk menghadapi lonjakan lalu lintas. AWS menyebut penawaran mereka sebagai ‘Perlindungan DDOS’, penawaran Azure adalah ‘Perisai’, dan penawaran GCP adalah ‘Google Cloud Armor’
- Physical security: tindakan yang diambil untuk menjaga keamanan server fisik Cloud Provider, seperti personel keamanan dan sistem alarm
Layanan Web Amazon
Yang tertua dan paling mapan dari tiga pemimpin pasar, Amazon Web Services adalah pilihan paling populer sebagai Cloud Service Provider. Dengan dokumentasi ekstensif dan konfigurasi aman default, alasannya mudah diketahui.
Apa model tanggung jawab bersama mereka?
Pendekatan AWS sederhana dan mudah diikuti, mengikuti perbedaan ‘keamanan di/cloud’ dengan hampir persis. AWS menangani perangkat keras, penyimpanan, jaringan, dan basis data, sementara pelanggan mereka menerapkan praktik mereka sendiri untuk keamanan data, akses pengguna, dan aplikasi pihak ketiga.
Apa yang dilakukan AWS dengan baik?
- Sebagai Cloud Provider paling matang, AWS memiliki beberapa keunggulan utama:
1. Dokumentasi jelas, transparan dan mudah ditemukan.
2. Peralatan lebih luas, dengan pasar terbesar untuk add-on pihak ketiga.
3. Dukungan – Anda akan menemukan lebih banyak profesional keamanan TI dengan pengalaman AWS dibandingkan Azure atau GCP.
4. Jaringan mitra AWS sangat luas dan matang. - AWS secara default mengamankan konfigurasi di area utama, sehingga keamanan Anda ditingkatkan secara langsung. Misalnya, saat Anda men-deploy sebuah instans ke VPC, akses secara otomatis dibatasi.
- Alat audit AWS, CloudTrail, membantu mengelola kepatuhan, meningkatkan postur keamanan, dan mengkonsolidasikan catatan aktivitas di seluruh Wilayah dan akun.
- Ini lebih penting untuk dikelola, tetapi fitur manajemen akses identitas granular AWS bekerja dengan mengonfigurasi federasi, pengguna, dan akses untuk setiap akun secara terpisah. Lingkungan lebih terisolasi, sehingga lebih terlindungi dari pelanggaran keamanan di tempat lain dalam organisasi.
Ada yang perlu diwaspadai?
- Pendekatan AWS terhadap manajemen akses pengguna (dan ketergantungan umum pada isolasi sebagai alat keamanan) berarti manajemen tingkat perusahaan memerlukan komitmen sumber daya yang lebih besar.
- Microsoft Azure memiliki penawaran VPN yang cukup kuat. Meskipun keduanya mendukung opsi titik-ke-situs dan situs-ke-situs, batas koneksi situs-ke-situs AWS adalah 10, dan Azure adalah 30.
MicrosoftAzure
Microsoft Azure adalah Cloud Service Provider paling mapan kedua setelah AWS. Pendekatannya yang terpusat mungkin cocok untuk beberapa organisasi, namun model tanggung jawab bersama yang kurang jelas dan beberapa masalah konsistensi dapat membuat frustasi.
Model tanggung jawab bersama
Meskipun mirip dengan AWS, ada tambahan ‘area abu-abu’ di mana tanggung jawabnya bergantung pada model cloud yang diterapkan. Ini mencakup infrastruktur dan infrastruktur direktori, aplikasi, kontrol jaringan, dan sistem operasi.
Apa yang dilakukan Azure dengan baik?
- Jika Anda mengambil pendekatan terpusat terhadap manajemen identitas dan akses (IAM), Direktori Aktif Azure akan sesuai dengan praktik kerja Anda. Hal ini memungkinkan Anda mengelola otorisasi dan izin dari satu konsol, menjadikan pengelolaan lebih mudah dan mengurangi risiko kesalahan manusia.
- Log aktivitas Azure mencakup konsol dan aktivitas API untuk seluruh organisasi (lintas wilayah) secara default, sementara tim lokal dapat mengelola pemberitahuan mereka sendiri melalui Pusat Keamanan Azure.
- Azure menawarkan manajemen akses istimewa bawaan untuk akses tepat waktu ke Azure AD dan Sumber Daya Azure. AWS dan GCP mengandalkan add-on pihak ketiga untuk melakukan hal ini.
- Azure memiliki fitur VPN terkuat – koneksi point-to-site and site-to-site connections, dengan batas koneksi site-to-site sebesar 30.
Ada yang perlu diwaspadai?
- Azure memiliki reputasi atas ketidakkonsistenan dan dokumentasi yang buruk, jadi disarankan untuk berhati-hati dan menguji secara ekstensif.
- Perubahan yang dilakukan melalui konsol memerlukan waktu untuk diterapkan pada lingkungan yang lebih luas.
- Model tanggung jawab bersama yang kurang jelas dengan lebih banyak wilayah abu-abu dibandingkan pesaing terdekatnya menawarkan potensi kesalahpahaman dan salah tafsir.
- Pendekatan yang tidak konsisten terhadap beberapa proses keamanan dapat mengungkap kerentanan – misalnya, mesin virtual baru yang ditambahkan ke jaringan virtual yang baru dibuat secara otomatis diberikan akses ke semua port dan protokol (AWS dan GCP dimulai dengan penolakan default).
- Pendekatan terpusat Azure terhadap IAM lebih mudah dikelola, namun pada saat yang sama, lingkungan tidak terlalu terisolasi dan, oleh karena itu, kurang terlindungi satu sama lain.
Google Cloud Platform
Google Cloud Platform (GCP) pendatang baru memiliki keunggulan dalam hal fitur dan fungsi. Di sisi lain, dokumentasi, add-on, dan akses terhadap talenta dibatasi oleh generasi muda Google sebagai Cloud Service Provider.
Model tanggung jawab bersama
Model tanggung jawab bersama GCP adalah matriks terperinci yang menentukan dengan tepat tugas keamanan mana yang menjadi tanggung jawab pelanggan di IaaS, PaaS, dan SaaS. Anda tahu persis apa tanggung jawab Anda dan dapat mengambil tindakan untuk memenuhinya.
Apa saja manfaat GCP?
- Meskipun tergolong pendatang baru, GCP menawarkan banyak fitur menjanjikan berdasarkan kekayaan keahlian teknik dan operasi global di tempat lain. Secara khusus, manajemen kontainer dan fitur AI menonjol sebagai yang terdepan di pasar.
- GCP menawarkan pendekatan terpusat terhadap pengelolaan keamanan yang mudah dikelola dan diskalakan. Meskipun proyek diisolasi satu sama lain secara default, Anda memiliki opsi untuk menghubungkannya jika itu paling sesuai untuk Anda.
- Seperti AWS, Google melakukan pekerjaan yang baik dalam mengamankan konfigurasi secara default dan mempertahankan pendekatan yang konsisten di seluruh penawaran cloud-nya.
Ada yang perlu diwaspadai?
- Sebagai Cloud Provider termuda dari tiga Cloud Provider besar, dokumentasinya tidak begitu luas. Anda mungkin juga kesulitan menemukan profesional keamanan TI yang berpengalaman di GCP.
- Fitur VPN Google adalah yang terlemah di antara ketiganya – saat ini, hanya koneksi VPN site-to-site yang didukung, tanpa dukungan koneksi point-to-site.
- Jumlah add-on pihak ketiga untuk GCP lebih sedikit karena pasarnya belum begitu berkembang, dan secara keseluruhan fitur keamanan bawaan lebih sedikit.
Beberapa pemikiran terakhir
Ada banyak informasi yang perlu dicerna terkait keamanan Cloud Provider.
Secara umum, pilihan Cloud Provider Anda bergantung pada kebutuhan spesifik Anda. Misalnya,
- GCP adalah pilihan tepat jika fitur AI masa depan harus dimiliki
- Azure berfungsi dengan baik jika Anda memiliki preferensi kuat untuk fitur IAM terpusat
- AWS menawarkan produk lengkap dan matang yang menawarkan keandalan tertinggi
Jika Anda memerlukan bantuan untuk mempertimbangkan pilihan terbaik untuk cloud migration Anda, Para ahli kami bekerja di berbagai proyek dan dengan senang hati akan meminjamkan keahlian mereka.