Badan Keamanan UE Menyoroti Risiko Komputasi Awan

Pengguna Cloud computing menghadapi masalah termasuk kehilangan kontrol atas data, kesulitan membuktikan kepatuhan, dan risiko hukum tambahan karena data berpindah dari satu yurisdiksi hukum ke yurisdiksi hukum lain, menurut penilaian risiko komputasi awan dari Jaringan Eropa dan Badan Keamanan Informasi (ENISA).

Agensi menyoroti masalah tersebut sebagai konsekuensi yang paling serius dan menjadi yang paling mungkin bagi perusahaan yang menggunakan layanan komputasi awan, menurut ENISA.

ENISA memeriksa aset yang berisiko bagi perusahaan ketika mereka beralih ke cloud computing, termasuk data pelanggan dan reputasi mereka sendiri; kerentanan yang ada dalam sistem komputasi awan; risiko dimana kerentanan tersebut mengekspos bisnis, dan probabilitas bahwa risiko tersebut akan terjadi.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Ketika pindah ke layanan komputasi berbasis cloud, perusahaan harus menyerahkan kontrol berlebihan terhadap penyedia cloud pada sejumlah masalah, yang dapat mempengaruhi keamanan secara negatif. Misalnya, ketentuan penggunaan penyedia mungkin tidak mengizinkan pemindaian port, penilaian kerentanan, dan pengujian penetrasi. Pada saat yang sama, perjanjian tingkat layanan (SLA) mungkin tidak termasuk layanan tersebut. Hasilnya adalah celah dalam pertahanan, kata ENISA dalam laporannya.

Kepatuhan juga dapat terbukti menjadi masalah besar jika penyedia tidak dapat menawarkan tingkat sertifikasi yang tepat atau skema sertifikasi belum diadaptasi untuk layanan cloud, kata laporan itu.

Salah satu keuntungan dari layanan cloud adalah bahwa data dapat disimpan di beberapa lokasi, yang dapat menghemat hari jika terjadi insiden di salah satu pusat data. Namun, itu juga bisa menjadi risiko besar jika pusat data berada di negara-negara dengan sistem hukum yang goyah, menurut laporan.

Bidang perhatian lainnya adalah vendor lock-in, kegagalan mekanisme yang memisahkan berbagai perusahaan, antarmuka manajemen yang dapat diakses oleh peretas, data tidak dihapus dengan semestinya dan orang dalam yang jahat.

Untuk meminimalkan risiko ini, laporan mengajukan daftar pertanyaan yang perlu ditanyakan perusahaan kepada penyedia cloud potensial. Misalnya, jaminan apa yang ditawarkan penyedia bahwa sumber daya pelanggan sepenuhnya terisolasi, apa program pendidikan keamanan yang dijalankan untuk staf, tindakan apa yang diambil untuk memastikan tingkat layanan pihak ketiga terpenuhi, dan sebagainya.

Pada akhirnya kontrak yang baik dapat mengurangi risikonya, menurut laporan itu. Perusahaan harus secara khusus memperhatikan hak dan kewajiban mereka terkait dengan transfer data, akses ke data oleh penegak hukum dan pemberitahuan pelanggaran keamanan, katanya.

Laporan ENISA tidak semua malapetaka dan kesuraman, meskipun. Menggunakan layanan komputasi awan dapat menghasilkan pertahanan yang lebih kuat, terukur, dan hemat biaya terhadap jenis serangan tertentu, menurut laporan tersebut. Misalnya, kemampuan untuk mengalokasikan sumber daya secara dinamis dapat memberikan perlindungan yang lebih baik terhadap serangan DDoS (distributed denial-of-service), kata ENISA.