ISO 27017 Sebagai Penerapan Kontrol Keamanan Cloud Computing

Asosiasi Cloud Computing Indonesia (ACCI) memiliki visi menjadi wadah yang mampu menselaraskan perkembangan teknologi Cloud Computing serta berperan aktif dalam peningkatan kualitas sumber daya manusia untuk mendukung perkembangan industri.

"Cloud computing adalah sebuah layanan yang menghubungkan kita untuk mengakses sumber daya komunikasi dari mana saja dan kapan saja serta kita juga bisa mengkonfigurasikan sendiri layanan tersebut dengan cepat dan mudah," ujar Ketua Umum ACCI Alex Budiyanto dalam paparannya di Wednesday Webminar #1 BSSN "Enhancing Cloud Services and Privacy Information Management through SNI", Selasa (22/6/2022).

Alex melanjutkan pada unit komunikasi dalam teknologi cloud computing itu dapat berupa platform, infrastructure, maupun software yang akan digunakan. 

Berikut juga, lanjut Alex, terdapat beberapa perbedaan layanan penggunaan pada konventional dengan cloud computing. Pada layanan konvensional disediakan secara manual, kapasitas yang digunakan berdasarkan target yang telah ditentukan oleh konsumen, sistem pembayarannya seusai dengan kapasitas yang diinginkan sesuai dengan kapasitas maksimal, serta dioperasikan melalui Sysadmins.

Lalu, pada perbedaan dengan layanan cloud computing adalah disediakan secara self provisioned, kapasitas yang digunakan bersifat elastis atau dapat dikonfigurasikan dengan mudah, sistem pembarayannya pun disesuaikan dengan yang konsumen gunakan sebelumnya, dan dioperasikan melalui APIs/ Self service portal. 

Selain itu, terdapat pula lima atribut utama terkait Cloud Computing seperti shared/pooled resources, broad network access, on-demand self-service, scalable and elastic, serta metered by use.

Alex Budiyanto juga membahas mengenai tiga layanan model pengiriman (service delivery models) yang terdiri dari Infrastructure as a Service (IaaS) yakni model dimana konsumen dapat menyediakan sumber daya komputasi dalam infrastruktur penyedia dimana mereka dapat menyebarkan dan menjalankan arbitrary software serta termasuk OS dan aplikasi.

Alex menambahkan pad model kedua, Platform as a Service (PaaS) model konsumennya dapat membuat aplikasi khusus menggunakan alat pmerograman yang didukung oleh penyedia dan menyebarkannya ke penyedia infrastruktur cloud.

Pada model layanan pengiriman yang terakhir adalah Software as a Service (SaaS) yaitu konsumen menggunakan aplikasi penyedia yang berjalan di infrastruktur penyedia cloud.

Di sisi lain, teknologi Cloud Computing juga memiliki tiga model penyebaran (Deployment Model) yang terdiri dari Private Cloud sebagai infrastruktur cloud yang disediakan untuk penggunaan eksklusif oleh satu organisasi uang terdiri dari banyak konsumen.

Community Cloud sebagai infrastruktur cloud yang disediakan untuk penggunaan oleh komunitas konsumen tertentu untuk organisasi yang memiliki concern bersama, Public Cloud sebagai infrastruktur cloud yang berisifat open use untuk penggunaan masyarakat umum, dan Hybrid Cloud sebagai infrastruktur cloud yang memiliki sebuah komposisi antara dua atau lebih infrastruktur cloud (private, community, atau public).

"Berikut tadi adalah beberapa komponen terkait teknologi Cloud Computing yang diharapkan dapat memahami paparan singkat dan bisa menjadi pondasi untuk kita diskusi SNI ISO/IEC 27017:2015 yang terkait mengenai Teknologi Informasi, Teknik Keamanan, dan Petunjuk praktik kendali keamanan informasi berdasarkan IOS/IEC 27002 untuk layanan cloud," ujar Alex. 

Alex juga menyebutkan bahwa terdapat beberapa kontrol tambahan untuk keamanan cloud di ISO 27017 seperti 6.3.1 Shared roles and responbilities within a cloud computing environment, 8.1.5 Removal of cloud service customer assets, 9.5.1 Segregation in virtual computing enviroments, 9.5.2 Virtual machine hardening, 12.1.5 Administrator's operational security, 12.4.5 Monitoring of cloud services, dan 13.1.4 Alignment of security management for virtual and physical networks.

Contoh implementasi pada kontrol keamanan cloud di ISO 27017 khususunya pada 8.1.5 Removal of cloud service customer assets adalah aset pelanggan layanan cloud yang berada di tempat penyedia layanan cloud harus dihapus, dan dikembalikan jika diperlukan pada waktu yang tepat setelah pengakhiran perjanjian layanan cloud.

Alex juga memberikan penjelasan mengenai kontrol tambahan keamanan cloud yakni 12.4.5 Monitoring of cloud services adalah pelanggan layanan cloud harus memiliki kemampuan untuk memantau aspek tertentu dari pengoperasioan layanan cloud yang digunakan oleh pengguna pelanggan layanan cloud.