Cloud Security Professional

0 Comments7.7 min read
Digitalisasi ekonomi semakin intens terjadi khususnya sejak pandemi melanda Indonesia di quarter pertama tahun 2020. Ini membuat semakin banyak perusahaan yang melakukan perubahan pada IT arsitekturnya. Tujuan utamanya adalah mengurangi ketergantungan dengan arsitektur on-premise di tengah ketidak menentuannya lokasi kerja karyawan. Sehingga tak salah jika terjadi peningkatan penggunaan cloud computing yang semakin menjadi pilihan korporasi. Hingga ada yang memilih untuk memindahkan keseluruhan data center yang di miliki ke Private Cloud. Kondisi ini bisa di lihat bahwa cloud computing tidak hanya sebagai sebuah platform, melainkan juga differensiasi kompetitif yang membuat persaingan semakin intens khususnya terkait SLA dan ketahanan cyber security. Kendalanya adalah, perubahan arsitektur tentunya tidak bisa di lakukan dengan proses cut-and-paste dari suatu environment kepada environment lainnya. Ada persiapan yang sebelumnya perlu di lakukan, dan yang tidak kalah pentingnya adalah menyiapkan talent cloud security professional.

Masa depan Cloud Computing

Kata Cloud Computing mengingatkan saya pada tahun 1996 di mana saat itu layanan free email MSN Hotmail sedang marak. Tidak hanya itu, layanan salesforce-dot-com juga mulai di perkenalkan di tahun 1999. Kedua layanan ini memberikan makna cloud computing bagi saya khususnya jika mengacu pada perkembangan masa depan cloud computing. Kita menyebut service ini dengan istilah Software-as-a-Service (SaaS) model. Variasi cloud service model lainnya semakin berkembang. Bulan July tahun 2002, Amazon Web Services (AWS) di luncurkan. AWS sendiri merupakan bagian dari perusahaan Amazon yang menawarkan konsep “Pay as you go” atas pemakaian hardware, operating system, software, dan fitur networking bagi pengguna sesuai. Layanan ini di banderol dengan variasi harga sesuai dengan tingkat kebutuhan redundancy, availability, dan security yang di sediakan. Pada tahun 2021 ini AWS sudah menyediakan lebih dari 200 jenis layanan cloud computing. Amazon Web Services dalam hal ini tidak sendirian, masih ada pemain cloud service provider (CSP) lainnya yang memberikan variasi layanan yang kompetitif. Ada Azure dari Microsoft, Google Cloud, IBM Cloud, Oracle Cloud, Alibaba Cloud, serta masih banyak lagi.
Peningkatan jumlah CSP yang ada menunjukkan perkembangan market layanan cloud yang semakin di minati oleh perusahaan. Tidak hanya yang berskala besar, skala menengah hingga kecil juga turut meramaikan market pengguna cloud. Apalagi startup yang sangat menyukai konsep cloud computing yang tidak memerlukan investasi awal dan konsep metered-service (pay-per-use atau consumption-based pricing). Fleksibilitas ini yang membuat masa depan cloud computing semakin lebih menjanjikan. Ini sejalan dengan temuan Gartner yang melalui penelitiannya menyebutkan bahwa terdapat peningkatan biaya yang di keluarkan untuk cloud computing sebesar 23.1% (USD 323 milyar) di tahun 2021 di bandingkan dengan tahun 2020 (USD 270 milyar). Bahkan Eric Schmidt (Google’s Executive Chairman) mengutarakan “Masa depan cloud telah menjadi perhatian universal. Adopsi cloud akan segera menjadi fakta, bukan hanya sebuah bahan perdebatan. Hari ini, migrasi ke cloud computing bukanlah proposisi yang dipertanyakan – karena hal ini adalah sesuatu yang tidak bisa dihindari.”

Mengapa Cloud Security menjadi penting?

Setelah kita melihat perkembangan dan potensi adopsi cloud computing bagi perusahaan, selanjutnya adalah menentukan rencana strategis implementasinya. Rencana yang di susun tidak bisa jika hanya terkait konsep arsitektur namun juga bagaimana arsitektur keamanannya. Perusahaan tentu tidak ingin hanya mengejar keuntungan (akibat diferensiasi kompetitif) namun mengabaikan potensi celah keamanan yang dapat di timbulkan akibat kelalaian. Cloud service provider tentunya akan menawarkan opsi service perlindungan keamanan, namun hal itu perlu kita pilih dan terapkan sedini mungkin. Pemilihan ini perlu di dasarkan pada arsitektur dan layanan yang kita miliki. Jadi tetap perlu rencana strategis.
Arsitektur keamanan pada on-premise pastinya tidak sama dengan cloud computing. Faktor multi-tenancy yang artinya kita berbagi environment dengan perusahaan lain, perlu kecermatan dalam menentukan strategi penyimpanan dan pengolahan data. Jika sebelumnya, pertukaran data antar masing-masing server di on-premise tidak terlalu mementingkan enkripsi yang tinggi. Kini dengan di tempatkannya data di cloud; kita perlu mempertimbangkan hal ini lebih dalam lagi. Dan masih faktor keamanan lain yang perlu di persiapkan. Kedua hal inilah yang merupakan point utama dimana cloud security menjadi penting.

Apa yang di butuhkan untuk menjadi Cloud Security Professional?

Jika kita melihat potensi yang besar dari cloud computing, dan juga kebutuhan akan cloud security. Maka pasti pertanyaan selanjutnya adalah: apa yang di butuhkan untuk menjadi Cloud Security Professional? Dengan asumsi bahwa kita sudah familiar dengan IT (hardware, operating system, dan network), selanjutnya kita bisa lanjut untuk memperdalam mengenai cloud computing, khususnya pada kaitan cloud delivery model dan cloud deployment model. Pemahaman pada kedua hal ini sangat penting untuk kemudian baru di lanjutkan dengan memahami “shared responsibility model”. Ini merupakan fundamental cloud computing sebagai pengantar untuk membuat arsitektur yang baik dan lebih aman.
Hal yang fundamental dari cloud computing bisa di pelajari lewat whitepaper dan framework yang terdapat pada ISO dan NIST. Pastinya bahasannya akan luas dan butuh waktu lumayan panjang. Untuk mempersingkat durasi proses belajar, gak ada salahnya mengambil sertifikasi. Pilih vendor neutral yang menawarkan training dan sertifikasi. Mengapa harus vendor neutral? Karena pengetahuan dasar mengenai cloud perlu memiliki perspektif seluas mungkin dan tidak boleh hanya berdasarkan pandangan vendor tertentu.
Cloud Security Alliance (CSA) adalah salah satu organisasi non-profit yang menitik beratkan pada keilmuan cloud computing dan bersifat vendor neutral. Organisasi ini memiliki corporate member (cloud service provider) tersebar di seluruh dunia. Banyak penelitian yang sudah di lakukan bahkan organisasi ini juga mengeluarkan sertifikasi dasar pengetahuan cloud security yang di sebut: Certificate of Cloud Security Knowledge (CCSK). “Mother of all cloud security certifications” adalah istilah yang di berikan bagi CCSK keluaran CSA ini. Terdapat 16 domain di dalamnya yang memetakan topik cloud security sehingga pada akhirnya di harapkan lulusannya dapat memiliki pemahaman mengenai cloud security secara dalam.

Cloud Security Certification Lainnya

Buat saya, sertifikasi adalah sebuah proses gamification yang hanya membuktikan kita telah mendedikasikan waktu dan biaya untuk memperoleh kelulusan. Tapi jangan salah, saya malah menyarankan untuk mengambil sertifikasi bagi yang ingin belajar topik tertentu. Pasalnya, sertifikasi sangat membantu mempersingkat proses belajar karena domain topik yang sudah di susun sedemikian rupa oleh para ahli sehingga memudahkan kita. Nah, setelah kita belajar fundamental cloud computing (lebih baik lagi jika bisa lulus ujian CCSK), maka selanjutnya kita boleh memilih vendor yang teknologi cloudnya potensial kita gunakan di kemudian hari. Ada banyak sekali vendor, tiga Cloud Service Provider di bawah saya pilih dan urutkan berdasarkan dari market share mereka (tahun 2020) di cloud computing.

1. Amazon Web Service (AWS)

Jumlah layanan cloud yang di sediakan oleh AWS sangat banyak dan juga seringkali mengalami pembaruan. Ini sebabnya AWS memiliki jumlah market share terbesar (2020) sebagai cloud service provider. Cloud Security Certification yang di keluarkan adalah: AWS Certified Security Specialty. Sertifikasi ini adalah bukan untuk entry-level user yang baru mempergunakan service di AWS. Setidaknya di sarankan telah memiliki pengalaman dua tahun hands-on dengan infrastruktur AWS. Sangat di sarankan pula untuk mengambil AWS Certified Solution Architect minimal pada level Associate sebelum mengambil AWS Certified Security Specialty ini. Dari pengalaman saya, AWS Certification jauh lebih mudah di pelajari karena alur dan bahan belajar yang sudah banyak tersedia.

2. Microsoft Azure

Riset pribadi yang saya lakukan menemukan bahwa harga ujian Azure secara umum lebih kurang 12% lebih murah dari AWS. Maka itu tidak ada salahnya jika path certification di mulai dari Azure Cloud Architect. Jika di perlukan bisa juga mengambil terlebih dahulu ujian AZ-900 Microsoft Azure Fundamental Exam. Semisalnya jika memang sudah cukup pengalaman dan confident lulus, bisa mencoba mengambil ujian AZ-500 Microsoft Azure Security Technologies. Tetap saya sarankan untuk mengambil level Architect, sebab esensi dari membangun keamanan perlu dasar dari konsep architecting cloud computing itu sendiri.

3. Google Cloud

Examnya di namakan Professional Cloud Security Engineer. Secara subjektif saya mengambil kesimpulan bahwa exam Cloud Security di Google Cloud lebih sulit dari pada yang saya ketahui di AWS Cloud Security. Hal ini saya nilai dari materi persiapan yang di pergunakan. Kompleksitas dan luasnya area agak sedikit menyulitkan pemahaman dan pendalaman. Terlebih lagi ada beberapa hal yang mungkin tidak terkait dengan Google yang perlu saya pelajari juga. Tapi di sisi pricing dan flexibility, saya berkesimpulan bahwa Google Cloud adalah yang terbaik. Potensial sekali untuk terus berkembang ke nomor satu. Jadi meskipun sulit menjawab soal-soal yang di berikan, tetap di sarankan untuk di ambil karena potensial perkembangan ke depannya.

Apa yang biasanya di lakukan seorang Cloud Security Professional?

Jika di atas sudah di ulas mengenai apa yang di perlukan, di sini kita bahas mengenai apa yang biasanya di lakukan seorang Cloud Security Professional? Setelah seorang Cloud Security Professional memperoleh pekerjaan terkait dengan keahliannya, secara umum dia akan bertanggung jawab seluruh hal terkait arsitektur cyber security di cloud. Ini bukan hanya membuat, namun juga melakukan monitoring dan corrective actions. Secara umum bisa di uraikan sebagai berikut:
1. Menemukan metode baru maupun mengembangkan metode yang sudah ada untuk menemukan dan juga menyelesaikan insiden cloud security yang umum terjadi. Metode yang di maksud di sini adalah proses otomatis (script) untuk detection dan corrective action.
2. Melakukan risk analysis atas proses vulnerability dan security assessment.
3. Melakukan konfigurasi firewall hingga perangkat intrusion detection sebagai mekanisme detection.
4. Melakukan pengawasan dan corrective action atas insiden yang tidak tertangkap melalui mekanisme otomatis yang di miliki.

Kesimpulan

Cloud Computing akan terus berkembang karena di rasa bisa menjadi differensiasi kompetitif bagi perusahaan. Perkembangan ini pasti akan terus membutuhkan tenaga Cloud Security Professional baik sebagai bagian team perancang arsitektur, maupun sebagai professional yang mampu menjaga dan terus mengembangkan sistem keamanan yang ada. Karena tentunya yang di namakan threat landscape akan tidak pernah berhenti berkembang selama perkembangan teknologi masih ada.
Sebagai orang yang tertarik pada Cloud Security kita perlu terus mengikuti perkembangan keilmuan dan menciptakan ide-ide yang aplikatif. Apakah ada tip pengalaman ataupun trik bagaimana belajar menjadi Cloud Security Professional? Di tunggu komentar-komentarnya di sini.

Share This Story, Choose Your Platform!

Leave A Comment