Pendahuluan

Di dunia teknologi cloud, salah satu konsep yang sangat penting adalah Model Shared Responsibility atau model tanggung jawab bersama. Model ini menjelaskan siapa yang bertanggung jawab atas apa, antara penyedia layanan cloud (seperti Amazon Web Services, Microsoft Azure, atau Google Cloud) dan pengguna layanan cloud (seperti perusahaan atau individu yang menggunakan cloud).

Meskipun model ini dirancang untuk memastikan bahwa kedua belah pihak memahami peran mereka dalam menjaga keamanan dan kelancaran operasional, banyak organisasi yang masih mengalami kebingungan atau membuat kesalahan dalam memahami tanggung jawab mereka. Ketidaktahuan atau kelalaian dalam mematuhi tanggung jawab yang sudah ditentukan bisa berakibat fatal, terutama dalam hal keamanan data dan kepatuhan hukum.

Artikel ini akan membahas secara sederhana apa itu model shared responsibility, serta kesalahan yang sering terjadi dan bagaimana cara menghindarinya.

Apa Itu Model Shared Responsibility?

Model Shared Responsibility merujuk pada pembagian tanggung jawab antara penyedia layanan cloud dan pelanggan cloud. Tanggung jawab ini terbagi sesuai dengan layanan yang digunakan, dan tergantung pada jenis layanan cloud, baik itu IaaS (Infrastructure as a Service), PaaS (Platform as a Service), atau SaaS (Software as a Service).

  • Penyedia layanan cloud bertanggung jawab atas keamanan infrastruktur cloud itu sendiri (seperti server, jaringan, dan fasilitas fisik).
  • Pengguna layanan cloud bertanggung jawab atas keamanan data mereka, aplikasi yang mereka jalankan, serta konfigurasi dan pengaturan yang mereka buat dalam layanan cloud.

Penting untuk dipahami bahwa semakin tinggi level layanan cloud yang digunakan (misalnya, SaaS dibandingkan IaaS), semakin sedikit tanggung jawab pengguna dalam hal infrastruktur dan keamanan fisik. Namun, ini tidak berarti pengguna bebas dari tanggung jawab.

Kesalahan yang Sering Terjadi dalam Model Shared Responsibility

Meskipun model ini jelas, banyak organisasi yang masih mengalami kesalahan dalam mengelola tanggung jawab mereka. Berikut adalah beberapa kesalahan umum yang sering terjadi:

1. Menganggap Penyedia Layanan Cloud Mengurus Semua Keamanan

Salah satu kesalahan paling umum adalah menganggap penyedia layanan cloud akan mengurus segala hal terkait keamanan, termasuk perlindungan data, kontrol akses, dan pemeliharaan aplikasi. Padahal, meskipun penyedia cloud mengelola infrastruktur dan beberapa lapisan keamanan dasar (seperti firewall dan enkripsi data di server mereka), pengguna cloud tetap bertanggung jawab atas data mereka.

  • Kesalahan yang sering terjadi: Banyak perusahaan yang percaya bahwa penyedia cloud akan memastikan bahwa data mereka aman tanpa melakukan pengaturan keamanan sendiri. Mereka mungkin tidak mengaktifkan enkripsi data, mengatur kontrol akses yang ketat, atau bahkan tidak menggunakan autentikasi multi-faktor (MFA).
  • Solusi: Pengguna cloud harus menyadari bahwa mereka harus mengamankan data mereka sendiri dengan enkripsi yang sesuai dan mengonfigurasi kontrol akses yang tepat. Penyedia layanan cloud hanya menyediakan infrastruktur, sementara pengelolaan aplikasi dan data adalah tanggung jawab pengguna.

2. Tidak Memahami Tanggung Jawab dalam Pengelolaan Data dan Aplikasi

Pengguna layanan cloud seringkali tidak menyadari tanggung jawab mereka terhadap aplikasi yang dijalankan dan data yang disimpan di cloud. Meskipun penyedia cloud menyediakan platform, infrastruktur, dan layanan dasar, keamanan aplikasi dan pengelolaan data tetap menjadi tanggung jawab pengguna.

  • Kesalahan yang sering terjadi: Beberapa perusahaan tidak memeriksa atau memelihara aplikasi mereka dengan baik setelah dipindahkan ke cloud. Mereka mungkin tidak melakukan pembaruan keamanan aplikasi, patching untuk mengatasi celah keamanan, atau bahkan tidak mengonfigurasi backups secara teratur.
  • Solusi: Pastikan aplikasi yang berjalan di cloud terus diperbarui dan aman. Terapkan kebijakan **pemulihan bencana (disaster recovery) dan pastikan ada salinan cadangan data yang terbaru.

3. Tidak Mengonfigurasi Keamanan Jaringan dengan Benar

Pengguna cloud sering membuat kesalahan dengan tidak mengonfigurasi pengaturan jaringan mereka dengan benar. Banyak layanan cloud, terutama IaaS, memberi pengguna kontrol penuh atas pengaturan jaringan mereka. Namun, jika pengaturan jaringan ini tidak dikonfigurasi dengan baik, hal ini bisa membuka celah bagi serangan siber.

  • Kesalahan yang sering terjadi: Pengguna sering lupa untuk mengonfigurasi firewall, virtual private network (VPN), atau kontrol akses jaringan yang membatasi siapa yang dapat mengakses data atau aplikasi mereka. Hal ini memungkinkan potensi akses yang tidak sah.
  • Solusi: Pastikan untuk mengonfigurasi firewall dan VPN dengan benar untuk membatasi akses ke data hanya kepada pihak yang berwenang. Gunakan segmentation jaringan untuk memisahkan data yang sangat sensitif.

4. Mengabaikan Kepatuhan dan Regulasi

Penyedia cloud memberikan kontrol atas infrastruktur dan platform, tetapi pengguna layanan cloud tetap bertanggung jawab untuk memastikan bahwa data mereka memenuhi regulasi dan standar kepatuhan yang berlaku, seperti GDPR (General Data Protection Regulation) atau HIPAA (Health Insurance Portability and Accountability Act).

  • Kesalahan yang sering terjadi: Perusahaan sering kali tidak memeriksa dengan teliti apakah penyedia cloud mereka memiliki sertifikasi yang diperlukan untuk memenuhi regulasi yang berlaku di wilayah atau industri mereka. Akibatnya, mereka bisa melanggar hukum terkait perlindungan data dan privasi.
  • Solusi: Pastikan penyedia layanan cloud memiliki kebijakan dan sertifikasi yang memenuhi standar kepatuhan yang diperlukan untuk data yang Anda simpan. Selalu lakukan audit dan pengecekan terhadap proses kepatuhan di layanan cloud Anda.

5. Tidak Mengelola Akses Pengguna dengan Tepat

Banyak perusahaan yang tidak mengelola kontrol akses dengan baik di cloud. Sebagai contoh, mereka mungkin memberikan hak akses yang terlalu luas kepada pengguna atau tidak memonitor siapa yang memiliki akses ke data sensitif.

  • Kesalahan yang sering terjadi: Menggunakan kata sandi yang lemah, memberikan akses yang tidak terbatas kepada semua pengguna, atau tidak menghapus akses pengguna yang sudah tidak aktif.
  • Solusi: Gunakan prinsip “least privilege” yaitu hanya memberikan akses yang paling minim dan diperlukan kepada pengguna. Terapkan autentikasi dua faktor (MFA) dan pastikan akses yang tidak diperlukan segera dicabut.

Kesimpulan

Model Shared Responsibility dalam cloud computing memang memberikan kejelasan tentang siapa yang bertanggung jawab atas apa, tetapi sering kali pengguna cloud membuat kesalahan dalam memahami peran dan tanggung jawab mereka. Penyedia layanan cloud hanya mengelola infrastruktur, sementara pengguna layanan cloud tetap memiliki tanggung jawab untuk mengelola data mereka, aplikasi yang mereka jalankan, dan memastikan bahwa pengaturan keamanan yang tepat diterapkan.

Dengan memahami model ini dengan baik dan menghindari kesalahan-kesalahan umum, perusahaan bisa memastikan bahwa data mereka tetap aman dan sesuai dengan regulasi yang berlaku. Jangan hanya bergantung pada penyedia cloud, tetapi ambil kontrol penuh atas keamanan data dan aplikasi Anda.

 

Related Posts: