Keamanan Dasar Cloud Materi ini membahas fondasi keamanan cloud: ancaman dasar, IAM, enkripsi, hashing, PKI, dan SSO. ...
- Menjelaskan ancaman dasar pada lingkungan cloud dan prinsip mitigasinya.
- Membedakan fungsi IAM, enkripsi, hashing, PKI, dan SSO dalam arsitektur keamanan.
- Menghubungkan konsep dengan implementasi umum pada AWS dan Google Cloud.
1. Ancaman Dasar Cloud
Dalam cloud, permukaan serangan bertambah karena layanan, akun, API, jaringan, dan penyimpanan dapat diakses secara terdistribusi. Keamanan harus dipahami sebagai kombinasi antara perlindungan identitas, data, konfigurasi, dan proses operasional.
🔓 Salah Konfigurasi
Contoh paling umum: bucket penyimpanan yang terlalu terbuka, aturan firewall longgar, atau service account dengan izin berlebihan. Ancaman ini sering muncul bukan karena teknologi lemah, melainkan karena kebijakan akses tidak dikontrol dengan baik.
🔑 Pencurian Kredensial
Password bocor, access key yang ditanam di kode, atau token yang tidak diputar berkala dapat dipakai untuk mengambil alih resource cloud. Di sinilah prinsip MFA, rotasi secret, dan identitas jangka pendek menjadi penting.
📤 Kebocoran Data
Data dapat bocor saat transit, saat tersimpan, atau saat dibagikan ke pihak yang tidak semestinya. Karena itu, kontrol enkripsi, logging, audit, dan klasifikasi data harus berjalan bersamaan.
2. IAM — Garis Depan Keamanan Cloud
Identity and Access Management (IAM) mengatur siapa boleh melakukan apa pada resource cloud. Google Cloud menjelaskan IAM sebagai fondasi terpadu untuk mengelola akses secara terpusat dan detail, termasuk untuk user, workload, dan identitas terfederasi melalui SSO maupun federation. Prinsip utamanya adalah least privilege — memberi izin minimum yang benar-benar dibutuhkan.
Konsep Inti IAM
- Identity: user, grup, service account, atau role.
- Authentication: membuktikan identitas lewat password, MFA, atau token.
- Authorization: keputusan apakah identitas boleh melakukan aksi tertentu.
- Policy: aturan izin yang mendefinisikan aksi, resource, dan kondisi.
Praktik Terbaik
- Hindari hak akses menyeluruh untuk akun harian.
- Gunakan role berdasarkan tugas, bukan berdasarkan orang.
- Audit izin berlebih secara berkala.
- Aktifkan MFA untuk semua akun administratif.
3. Enkripsi dan Hashing
Dua istilah ini sering disandingkan, padahal fungsinya berbeda secara fundamental.
| Aspek | Enkripsi | Hashing |
|---|---|---|
| Tujuan | Menjaga kerahasiaan data agar hanya pihak berwenang yang dapat membaca. | Menjaga integritas dengan menghasilkan sidik jari digital dari data. |
| Sifat proses | Dapat dibalik (reversible) dengan kunci yang benar. | Satu arah (one-way); hasil hash tidak dimaksudkan untuk dikembalikan ke data asli. |
| Contoh penggunaan | Enkripsi file, database, object storage, komunikasi TLS. | Verifikasi integritas file, penyimpanan password, tanda tangan digital. |
🔐 Enkripsi di Cloud
AWS KMS menyediakan pengelolaan kunci kriptografi dan terintegrasi dengan banyak layanan AWS, serta mendukung audit melalui CloudTrail. Praktik yang ditekankan mencakup pemisahan tugas admin kunci dan pengguna kunci, penggunaan least privilege, logging, dan pembatasan layanan yang boleh memakai key tertentu.
#️⃣ Hashing dalam Keamanan
Hash dipakai untuk mengecek apakah isi data berubah. Dalam konteks sertifikat digital, hashing juga dipakai saat membuat dan memverifikasi tanda tangan digital, sehingga integritas dan keaslian data dapat diperiksa tanpa membocorkan private key.
Alur kerja hashing:
Data dibuat
Misalnya file, pesan, atau objek di cloud storage.
Data di-hash
Algoritma seperti SHA menghasilkan nilai ringkas yang unik terhadap isi data.
Nilai dibandingkan
Bila isi berubah sedikit saja, nilai hash juga berubah — ini memudahkan deteksi manipulasi.
4. PKI dan SSO
Keduanya berkaitan dengan identitas tepercaya, tetapi dipakai pada lapisan yang berbeda.
🏛️ PKI (Public Key Infrastructure)
Sistem yang mengelola sertifikat digital, pasangan public-private key, dan otoritas sertifikat. PKI digunakan untuk membangun trust, mengaitkan identitas dengan public key melalui sertifikat X.509, dan memverifikasi tanda tangan digital menggunakan kriptografi kunci publik.
🔗 SSO (Single Sign-On)
Memungkinkan pengguna login satu kali untuk mengakses banyak layanan. Google Cloud menyatakan bahwa federasi identitas dan SSO membantu workforce masuk secara aman menggunakan identity provider yang sudah dimiliki organisasi.
| Komponen | Peran Utama | Contoh di Cloud |
|---|---|---|
| Certificate Authority | Menerbitkan dan menandatangani sertifikat digital. | Private CA, sertifikat TLS internal, trust anchor workload. |
| Identity Provider | Menyimpan identitas pengguna dan melakukan autentikasi. | Google Workspace, Azure AD, Okta, atau IdP kampus. |
| Service Provider | Menerima identitas hasil login dan memberi akses ke aplikasi. | Console cloud, dashboard internal, LMS, atau aplikasi SaaS. |
5. Contoh Implementasi AWS & Google Cloud
☁️ AWS
- Gunakan IAM Role untuk memisahkan hak admin, developer, dan aplikasi.
- Aktifkan enkripsi penyimpanan menggunakan AWS KMS; gunakan customer managed keys bila organisasi membutuhkan kontrol lebih rinci.
- Manfaatkan CloudTrail untuk audit penggunaan key dan aktivitas penting.
- Untuk identitas enterprise, gunakan IAM Identity Center agar akses lintas aplikasi lebih terpusat.
☁️ Google Cloud
- Atur role berbasis tugas pada project, folder, atau organisasi lewat IAM.
- Gunakan Workforce/Workload Identity Federation untuk mengurangi ketergantungan pada kredensial statis.
- Terapkan SSO dan MFA melalui identity provider organisasi.
- Gunakan kontrol akses kontekstual dan kebijakan organisasi untuk menjaga kepatuhan akses.
6. Ringkasan
⚡ Threat
Cloud rentan pada salah konfigurasi, pencurian identitas, dan kebocoran data bila akses tidak dikelola secara disiplin.
🛡️ IAM
IAM adalah fondasi kontrol akses; prinsip utamanya adalah least privilege, MFA, audit, dan pemisahan peran.
🔒 Kriptografi & Identitas
Enkripsi menjaga kerahasiaan, hashing menjaga integritas, PKI membangun trust digital, dan SSO menyederhanakan autentikasi lintas layanan.


COMMENTS