Fokus pada keamanan cloud: strategi, arsitektur, dan model kontrak untuk melindungi data sensitif perusahaan di dunia digital

Data merupakan alat dalam perekonomian digital modern, atau bisa disebut sebagai "emas baru" bagi perusahaan (sektor swasta), namun juga bagi negara (sektor publik). Di dunia digital saat ini, terdapat jumlah data baru yang tak terhentikan, yang sebagian besar berakhir di internet. Beberapa di antaranya merupakan data pribadi yang mencerminkan identitas digital. Seni sesungguhnya dalam sebuah perusahaan adalah menyaring data ini dengan cermat dan, yang terpenting, menyimpannya. Makalah singkat ini membahas penyimpanan data di cloud serta pemrosesannya dari perspektif perusahaan. Selain itu, makalah singkat ini juga menunjukkan jenis kontrak, arsitektur, serta langkah-langkah keamanan yang tepat terhadap serangan siber yang diterapkan oleh industri untuk memiliki fondasi yang kokoh dalam pemrosesan data mereka sendiri.

Sebelum kita langsung membahas topik keamanan cloud, pertama-tama perlu dipahami beberapa data dasar tentang apa yang disebut "Cloud Computing", cara kerjanya, dan struktur cloud: "Cloud Computing adalah model pemrosesan data yang memungkinkan akses yang nyaman kapan saja dan di mana saja melalui jaringan ke kumpulan sumber daya komputer yang dapat dikonfigurasi (misalnya jaringan, server, sistem penyimpanan, aplikasi, dan layanan). Sumber daya ini dapat disediakan dengan cepat dan dengan beban administrasi minimal atau interaksi yang sedikit dengan penyedia layanan. Cloud dapat digunakan dalam tiga varian (Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS)). Jenis awan berbeda-beda tergantung pada jenis penyediaannya (Awan Pribadi, Awan Komunitas, Awan Publik, Awan Hibrida).» [1]

Dalam bidang komputasi awan, terdapat berbagai jenis penyediaan, yaitu cara penyedia layanan awan menyediakan layanan awan kepada penggunanya. Ada empat model utama yang terkait dengan komputasi awan:

1. Cloud Publik

Cloud publik memungkinkan semua pengguna mengakses sumber daya komputer seperti perangkat keras (sistem operasi, CPU, memori) atau perangkat lunak (server aplikasi, basis data) berdasarkan langganan atau sistem bayar sesuai penggunaan. Contoh penggunaannya adalah pengembangan dan pengujian aplikasi untuk tugas-tugas kritis maupun non-kritis, seperti berbagi file dan layanan email.

2. Cloud Pribadi

Cloud pribadi biasanya digunakan secara eksklusif oleh satu organisasi dan dapat dikelola secara internal atau oleh penyedia layanan TI eksternal. Meskipun cloud pribadi seringkali lebih mahal daripada cloud publik karena investasi dalam pembelian dan pemeliharaan, cloud pribadi menangani masalah keamanan dan privasi organisasi dengan lebih efektif.

3. Awan Hibrida (gabungan antara pusat data fisik atau awan pribadi eksternal dan/atau awan publik)

Cloud hibrida menggunakan infrastruktur cloud pribadi dan publik. Perusahaan memilih model ini untuk memperluas infrastruktur TI mereka dengan cepat sesuai kebutuhan. Dengan demikian, misalnya, pedagang online dapat menggunakan sumber daya cloud publik selama musim liburan untuk melengkapi atau meringankan beban kapasitas cloud pribadinya.

4. Awan Komunitas

Community Cloud mendukung beberapa organisasi yang bersama-sama menggunakan sumber daya komputasi. Contohnya termasuk universitas yang bekerja sama dalam bidang penelitian tertentu , atau lembaga pemerintah seperti kantor polisi di dalam suatu kabupaten yang berbagi sumber daya. Akses ke Community Cloud terbatas pada anggota komunitas tersebut.

Biaya bagi pengguna akhir pada awan publik umumnya rendah, tanpa memerlukan investasi besar. Sebaliknya, awan pribadi memang memerlukan investasi, namun pada dasarnya menawarkan penghematan dibandingkan dengan biaya operasional infrastruktur sendiri . Awan pribadi juga menjamin dukungankeamanan dan kepatuhanyang lebih baik daripada awan publik. Oleh karena itu, beberapa organisasi menggunakan awan pribadi untuk data, aplikasi, dan informasi yang kritis bagi bisnis atau lebih sensitif, serta awan publik untuk tugas-tugas dasar seperti pengembangan aplikasi, lingkungan pengujian, dan layanan email. [2]

Solusi cloud hibrida cocok untuk mengurangi atau mendiversifikasi risiko serangan siber. Solusi ini menawarkan kontrol yang lebih besar atas keamanan internal dibandingkan dengan penggunaan murni cloud publik. Selain itu, infrastruktur cloud hibrida memungkinkan penerapan standar keamanan khusus dan konfigurasiperangkat lunak yang disesuaikandi server pribadi. Distribusi ini meningkatkan keandalan sistem dan memudahkan penilaian situasi untuk mengklasifikasikan masalah sistem.

Selain itu, efisiensi biaya lebih tinggi dibandingkan dengan pembelian dan pemeliharaan server di lokasi. [3]

Model Arsitektur Layanan Cloud

Mengingat berbagai keuntungan solusi cloud hibrida ini, mulai dari peningkatan kontrol keamanan hingga keandalan yang lebih baik, penting untuk memahami berbagai arsitektur layanan cloud. Arsitektur ini, yaitu Infrastructure as a Service (IaaS), Platform as a Service (PaaS), dan Software as a Service (SaaS), menawarkan tingkat penyediaan layanan yang berbeda-beda dan menetapkan tanggung jawab kepatuhan yang berbeda-beda.

1. Infrastructure as a Service (IaaS)

Penyedia IaaS menyediakaninfrastruktur komputasi, penyimpanan, dan jaringan dasar serta hypervisor untuk virtualisasi. Pengguna bertanggung jawab atas pembuatan dan pengelolaan instans virtual, instalasi sistem operasi, penyediaan aplikasi dan data, serta seluruh konfigurasi. IaaS menarik baik bagi usaha kecil maupun UKM. Kemudahan penggunaan infrastruktur cloud yang tidak dioperasikan sendiri merupakan alternatif yang hemat biaya dibandingkan dengan membeli perangkat keras sendiri.

Contoh: DigitalOcean, AWS, Azure, Google Compute Engine, Hetzner Cloud

2. Platform as a Service (PaaS)

Penyedia PaaS memperluas tumpukan aplikasi lebih jauh daripada IaaS dengan menambahkan sistem operasi dan middleware (misalnya, basis data). Pengguna lebih fokus pada pengembangan aplikasi. Platform mengelola infrastruktur yang mendasarinya.

Contoh: AWS Elastic Beanstalk, Google App Engine.

3. Software as a Service (SaaS)

Penyedia SaaS menawarkan tumpukan aplikasi yang lengkap. Pengguna dapat mengakses aplikasi yang dihosting sepenuhnya melalui browser web. Pengelolaan beban kerja dan sumber daya TI sepenuhnya berada di bawah kendali penyedia SaaS, sementara pengguna secara eksplisit memiliki kendali atas data yang dibuat oleh aplikasi.

Contoh: Salesforce, Dropbox, Google Workspace, aBusiness Suite [4]

Cloud dalam Hukum Kontrak

Kontrak SaaS sejauh ini belum secara eksplisit diatur secara hukum oleh pembuat undang-undang. Hingga saat ini, kontrak SaaS secara hukum hanya dapat diklasifikasikan sebagai kontrak campuran yang mencakup aspek-aspek dari kontrak jasa, kontrak pengerjaan, dan kontrak sewa. Bidang hukum yang berlaku karenanya bergantung pada bagian kinerja kontrak yang bersangkutan. Unsur utama dari kontrak SaaS terutama terletak pada hukum sewa-menyewa, karena penyediaan perangkat lunak paling tepat dibandingkan dengan penyerahan kepemilikan dalam hukum sewa-menyewa. Karena perangkat lunak tidak dianggap sebagai "barang" dalam arti hukum sewa-menyewa, saat ini berlaku pandangan bahwa kontrak SaaS merupakan penyerahan untuk penggunaan yang terbatas waktu. Hal ini selaras dengan ketentuan dan tujuan yang dikejar oleh hukum sewa-menyewa. [5]

Kontrak PaaS sangat dipengaruhi oleh Perjanjian Tingkat Layanan (SLA), yang menetapkan kinerja minimum serta mendefinisikan hak dan kewajiban kedua pihak dalam kontrak.

Perlindungan data serta keamanan data memainkan peran yang sangat penting, karena layanan PaaS sering kali memproses data sensitif. Kontrak harus memuatketentuan yang jelas mengenai perlindungan data pribadi. Selain itu, tidak dapat dihindari untuk menetapkan dalam kontrak siapa yang memiliki hak kekayaan intelektual atas aplikasi yang dibuat, di mana biasanya pengguna tetap memiliki hak atas aplikasi tersebut dan penyedia tetap memiliki hak atas platform. [6]

Kesimpulan

Terlepas dari apakah itu startup, perusahaan modal ventura, UKM, atau perusahaan besar, keamanan cloud sangat penting bagi setiap perusahaan.

Dalam hal ini, tidak hanya perlu diperhatikan penyedia cloud mana yang ingindiajak bekerja samaoleh perusahaan , tetapi juga kerangka kerja apa yang ditetapkan dalam hal ini.

Pada akhirnya, keamanan tidak hanya menjadi tanggung jawab penyedia layanan teknologi cloud itu sendiri, tetapi karyawan perusahaan juga memainkan peran yang sama pentingnya dalam aspek keamanan cloud.

Sangatlah penting untuk secara rutin berinvestasi dalam pelatihan dan peningkatan kesadaran karyawan, guna memastikan bahwa mereka memiliki pengetahuan yang diperlukan untuk menangani pedoman dan prosedur keamanan. Namun, untuk memanfaatkan seluruh potensi cloud, perusahaan harus berinvestasi baik dalam pemeliharaan sistem internal maupun sistem mitra eksternal, serta dalam perekrutan karyawan IT baru. Dengan demikian, perusahaan dapat memastikan keamanan sistem, dan dengan demikian meningkatkan kepuasan pelanggan, yang pada akhirnya akan meningkatkan reputasi perusahaan dalam jangka panjang.

Salah satu masalah utama dalam memilih penyedia cloud eksternal adalah ketergantungan pada penyedia asing dan peraturan perlindungan data mereka. Perusahaan menghadapi tantangan ini melalui langkah-langkah seperti pemeriksaan menyeluruh terhadap pedoman perlindungan data, pendekatan cloud hibrida untuk meminimalkan risiko, evaluasi langkah-langkah keamanan dan sertifikasi penyedia, penilaian dampak perlindungan data, pemantauan dan audit rutin, serta persiapan terhadap kemungkinan pelanggaran perlindungan data. Strategi-strategi tersebut bervariasi tergantung pada ukuran dan sektor industri perusahaan, namun semuanya bertujuan untuk memastikan kepatuhan terhadap perlindungan data dan meminimalkan risiko potensial dalam penggunaan layanan cloud eksternal.

Daftar Pustaka

Komputasi Awan
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

Model Penerapan Cloud (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

Memahami Cloud - apakah Anda tahu apa itu Public Cloud dan apa itu Hybrid Cloud? (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

Apa itu IaaS? Definisi dan Hal-hal yang Perlu Diketahui
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Platform as a Service (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

Hal-hal yang perlu diperhatikan saat menyusun kontrak SaaS (2022)
https://www.top.legal/wissen/saas-vertraege

Kontrak Platform-as-a-Service (Kontrak PaaS): Panduan (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html