Adopsi cloud computing semakin menemukan momentumnya. Survei yang dilakukan Alibaba Cloud menunjukkan, 77% perusahaan di Indonesia saat ini sudah mengadopsi solusi berbasis cloud. Bahkan 83% responden menyebut, solusi berbasis cloud membantu mereka menjawab tantangan bisnis yang muncul saat pandemi.
Fakta menarik lain yang mengemuka adalah, 63% perusahaan memandang hybrid cloud menjadi solusi ideal untuk strategi disaster recovery maupun business continuity.
Tantangan Cyber Security di Hybrid Cloud
Akan tetapi, adopsi hybrid cloud juga menimbulkan tantangan tersendiri, utamanya dari sisi security. Saat mengadopsi hybrid cloud, perusahaan harus mengelola security dari sistem atau workload yang berada di on-promise maupun hybrid cloud. Padahal, keduanya memiliki karakteristik berbeda. Sistem on-premise mengandalkan pendekatan perimeter, ketika perusahaan bisa membuat “pagar” untuk melindungi aset digital mereka.
Baca Juga: Insiden cyber security yang mengguncang dunia di paruh pertama 2021
Sementara di area public cloud, keamanan data menjadi shared responsibility alias tanggung jawab bersama. Penyedia layanan cloud memiliki kewajiban melindungi infrastruktur cloud-nya (off the cloud), sementara pengguna cloud memiliki tanggung jawab melindungi data di dalam cloud (in the cloud).
Dengan kata lain, tim IT Security harus bekerja dalam dua mindset berbeda saat sebuah perusahaan mengadopsi hybrid cloud. Tantangan semakin besar ketika perusahaan menggunakan multi-cloud alias beberapa penyedia layanan cloud. Pasalnya, setiap penyedia cloud memiliki interpretasi tersendiri dalam mengadopsi shared responsibility ini.
Lalu, bagaimana menjawab tantangan ini?
Menurut Jason Bloomberg di blog Gigamon, langkah awal untuk menjawab tantangan ini adalah dengan mengedepankan pendekatan policy-centric. Policy yang dibuat harus bisa menggambarkan tanggung jawab perusahaan maupun penyedia layanan cloud, sehingga perusahaan bisa mengelola security maupun operasional secara strategis dan holistik.
Setelah itu, organisasi harus bisa mengkomunikasikan policy itu ke internal, terutama untuk tim operasional maupun security. Hal ini penting mengingat tim operasional dan IT security memiliki dua kepentingan berbeda, sehingga perlu adanya kebijakan yang menjadi “aturan main” bersama.
Pentingnya Data
Untuk membuat policy tersebut, analisa data menjadi aspek krusial. Perusahaan harus mengetahui data mana yang normal, sehingga dapat mengidentifikasi ketika terjadi anomali. Sistem security harus bisa menangkap data secara real-time dari setiap workload, baik ketika berpindah antar server (atau east-west traffic), maupun dari user ke server (north-south traffic).