Foto von Christina Morillo: https://www.pexels.com/de-de/foto/software-ingenieur-steht-neben-server-racks-1181354/
Cloud computing makin populer, tapi banyak orang masih bingung soal perbedaan antara SaaS, PaaS, dan IaaS, terutama dari sisi keamanan. Siapa yang tanggung jawab kalau ada kebocoran data? Apakah semuanya dipegang oleh penyedia cloud, atau ada bagian yang tetap harus kita amankan sendiri?
Tulisan ini coba membahas perbedaan tanggung jawab keamanan di tiap model layanan cloud, serta tantangan yang mungkin dihadapi pengguna di masing-masing model.
☁️ Sekilas tentang SaaS, PaaS, dan IaaS
Singkatnya, tiga model ini berbeda dari segi seberapa banyak kontrol yang dimiliki pengguna terhadap infrastruktur dan aplikasinya:
- SaaS (Software as a Service): Kita tinggal pakai aplikasinya, semua infrastruktur dan platform sudah diatur penyedia. Contoh: Google Docs, Zoom.
- PaaS (Platform as a Service): Kita bisa membangun dan menjalankan aplikasi, tapi tidak mengurus server atau sistem operasi. Contoh: Heroku, Google App Engine.
- IaaS (Infrastructure as a Service): Kita menyewa infrastruktur virtual dan bertanggung jawab penuh atas sistem operasi, aplikasi, dan datanya. Contoh: AWS EC2, Azure VM.
🔐 Siapa Bertanggung Jawab atas Apa?
Berikut ini tabel ringkas untuk melihat siapa yang mengelola apa di tiap model:
| 🔍 Area | IaaS (Kamu Bangun) | PaaS (Kamu Koding) | SaaS (Kamu Pakai) |
|---|---|---|---|
| Data Center & Jaringan | Provider | Provider | Provider |
| Virtualisasi / Hypervisor | Provider | Provider | Provider |
| Sistem Operasi & Patch | Kamu | Provider | Provider |
| Runtime & Middleware | Kamu | Provider | Provider |
| Logika Aplikasi | Kamu | Kamu | Provider |
| Data & Kontrol Akses | Kamu | Kamu | Kamu |
Semakin banyak kontrol yang kita miliki, semakin besar pula tanggung jawab keamanannya.
⚠️ Tantangan Keamanan di Setiap Model
Setiap model punya risiko dan tantangan masing-masing:
🧱 IaaS
- Konfigurasi salah (misalnya firewall tidak diatur dengan benar).
- Lupa update sistem yang menyebabkan kerentanan.
- Data disimpan tanpa enkripsi atau izin akses yang tepat.
- Serangan DDoS yang menyerang langsung server kita.
🛠️ PaaS
- Kerentanan dari kode aplikasi (misalnya XSS, SQL Injection).
- Ketergantungan pada library eksternal yang tidak aman.
- Pengaturan peran dan izin pengguna harus diatur sendiri.
📦 SaaS
- Risiko pencurian kredensial (phishing, password reuse).
- Minimnya kontrol atas lokasi penyimpanan dan metode enkripsi data.
- Risiko multi-tenancy, jika sistem tidak terisolasi dengan benar.
🧠 Penutup
Model layanan cloud bukan hanya soal kenyamanan, tapi juga tentang pembagian tanggung jawab. Mengandalkan cloud bukan berarti lepas dari urusan keamanan—kita tetap punya bagian yang harus dijaga, tergantung dari model yang kita pilih.
Memahami batas tanggung jawab ini penting, terutama saat menangani data sensitif atau ketika ingin menerapkan kebijakan keamanan yang lebih ketat.
Kalau kamu sedang belajar atau bekerja dengan cloud services juga, boleh share pandanganmu soal ini. Atau mungkin kamu lebih nyaman pakai satu model tertentu dibanding yang lain? Yuk diskusi.
