Latar Belakang
Penyimpanan memperluas batas lingkungan komputasi yang
memungkinkan data dibagi antar pengguna
dan aplikasi. Platform penyimpanan telah berkembang begitu efisien yaitu server
dapat menggunakan lingkungan penyimpanan, sebagai penyimpanan asli ke server
dan bentuk penyimpanan langsung lainnya, untuk kebutuhan penyimpanan utama
mereka. Lingkungan penyimpanan terus berkembang, platform penyimpanan
digabungkan menjadi satu unit yang mengelola beberapa data file dan data
aplikasi dalam satu unit yang sama. Protokol smart switch mampu mengirimkan
data pada kecepatan tinggi, yang mana pada gilirannya memungkinkan perampingan
pusat data.
Dasar-dasar Storage Auditing
Key Storage
Components
Infrastruktur penyimpanan mencakup komponen yang terkait
dengan host, jaringan, dan penyimpanan yang bekerja bersamaan untuk menyediakan
fasilitas penyimpanan kepada pengguna dan aplikasi.
Redundant
Array of Independent Disks (RAID)
Teknik penyimpanan RAID memungkinkan beberapa drive
digabungkan untuk menyediakan lebih banyak penyimpanan pilihan daripada yang
akan disediakan oleh satu disk, termasuk kapasitas yang lebih, redundansi, dan
kinerja. Pengontrol penyimpanan mengelola beberapa drive di salah satu dari
beberapa konfigurasi tergolong tingkat RAID.
RAID-0: Striping Striping adalah teknik yang menawarkan performa
terbaik dari semua RAID configuration. Dalam striped array, data disisipkan ke
dalam semua drive di array. Jika file disimpan ke array RAID-0, array akan
mendistribusikan file tersebut ke logical drive yang terdiri dari beberapa disk
fisik. Dari perspektif kinerja, RAID-0 adalah yang paling efisien karena bisa
menulis ke enam disk sekaligus. Kelemahan RAID-0 adalah kurangnya kehandalan.
Kegagalan disk mengakibatkan hilangnya semua data yang tersimpan dalam array.
RAID-1: Mirroring RAID-1 adalah array disk dimana dua disk
dipertahankan salinan identik Disk dicerminkan satu sama lain untuk melindungi
terhadap kegagalan drive. Dengan mirroring, apapun yang Anda tulis ke satu
drive akan ditulis bersamaan ke yang lain. Dengan demikian, Anda selalu
memiliki duplikat persis data Anda di drive lain, Namun, anda hanya bisa
menggunakan setengah dari ruang penyimpanan pada disk. Meskipun ini mungkin
tampak tidak efisien, RAID-1 adalah pilihan yang lebih disukai untuk data yang
dibutuhkan keandalan tertinggi.
RAID-5: Reliabilitas with Parity RAID-5 adalah array disk bergaris,
mirip dengan RAID- 0 dalam data didistribusikan di array; Namun, RAID-5 juga
menyertakan tambahan data tentang isi drive yang disebut parity. Dengan
paritas, sebuah mekanisme mempertahankan integritas data yang tersimpan dalam
array, sehingga jika satu disk dalam array gagal, data dapat direkonstruksi
dari disk yang tersisa.
RAID-10: High Performance Striping with Mirrored Segments RAID-
10 diimplementasikan sebagai RAID-0 (array bergaris) yang segmennya adalah
RAID-1 (mirrored) array. Hasilnya memberikan kinerja tinggi dengan striping
RAID-1 segmen dan dan memberikan toleransi kesalahan yang sama seperti RAID-1.
Jumlah drive membuat RAID-10 sangat mahal, dan array datang dengan overhead
tinggi. RAID-10 bisa digunakan untuk mendukung database server yang membutuhkan
kinerja tinggi dengan toleransi kesalahan.
Konsep Key Storage
Berikut ini adalah konsep
penyimpanan penting yang mendapatkan momentum. Penyimpanan adalah
berubah-permanen-untuk menjadi lebih cerdas, lebih cepat, lebih kecil, dan
lebih efisien.
Recovery Point Objective and Recovery Time Objective
Recovery Point Objective (RPO)
menentukan berapa banyak data yang akan hilang ketika kesalahan terjadi, dan
Recovery Time Objective (RTO) menentukan berapa lama waktu yang dibutuhkan
untuk pulih ketika terjadi kehilangan data.
Tiered Storage
Biaya media penyimpanan sebanding
dengan kinerja media. Penyimpanan flash adalah media tercepat, dan sangat cocok
untuk lingkungan kinerja ekstrim. Namun, biaya (dan beberapa efek samping yang
unik terkait dengan peluruhan kapasitas dari waktu ke waktu) membuat flash adalah
pilihan yang buruk untuk pengarsipan data dalam jangka waktu yang lama. Anda
bisa membeli berbagai jenis media penyimpanan untuk lingkungan penyimpanan
besar yang sama dan mengklasifikasikan penyimpanan Anda sesuai dengan
persyaratan kinerja. Array penyimpanan kemudian dapat menempatkan data pada
media yang tepat untuk performa yang dibutuhkan. Beberapa data-tiering berbeda
model bisa digunakan
Data Deduplication
Teknologi deduplication data
menemukan duplikat pada tingkat tertentu, apakah file identik atau komponen
identik, blok, aliran, atau bit berurutan, dan duplikat pengganti salinan
dengan pointer ke satu salinan data. Misalnya, pertimbangkan e-mail terkirim
untuk sepuluh orang dengan lampiran. Entah lampiran bisa disimpan sepuluh kali,
atau lampiran dapat disimpan satu kali dengan sembilan pointer ke salinan
aslinya.
Green Storage
Tujuan green storage bukan hanya
untuk melestarikan sumber daya dan lingkungan,tetapi juga memungkinkan Anda
memaksimalkan infrastruktur penyimpanan Anda dengan sedikit uang. Menggunakan
teknologi dan arsitektur yang cerdas, perusahaan menyusut jumlah ruang, peralatan,
energi, dan biaya administrasi yang diperlukan untuk mengelola penyimpanan.
Storage Virtualization
Penyimpanan tradisional
memerlukan overhead administrator yang tinggi dan pengetahuan yang terperinci
jalur fisik, informasi perangkat, dan lokasi data. Virtualisasi penyimpanan
adalah abstraksi detail yang memisahkan lapisan antara kebutuhan host dan
penyimpanan. Lokasi dan implementasinya transparan terhadap host. Hasilnya
adalah penyampaian yang lebih baik dan kualitas (up time) dari infrastruktur penyimpanan
sambil meningkatkan utilisasi dan pengurangan biaya modal dan overhead
manajemen. Virtualisasi penyimpanan adalah luas dan agak rumit, karena
banyaknya vendor dan implementasinya yang ada, tapi Anda harus sadar akan
arsitekturnya. Virtualisasi penyimpanan berkembang di popularitas dan di sini
untuk tinggal.
Langkah-langkah Auditing Storage
Audit storage dirancang untuk
meninjau kontrol kritis guna melindungi kerahasiaan data, integritas, atau
ketersediaan storage untuk pengguna yang menggunakan penyimpanan tersebut. Berikut
adalah langkah-langkahnya :
Setup and General Controls
- Dokumentasikan arsitektur manajemen penyimpanan secara keseluruhan termasuk perangkat keras dan infrastruktur jaringan pendukung
Tim yang bertanggung jawab untuk
mengelola penyimpanan harus mendokumentasikan arsitektur penyimpanan dan
bagaimana antarmuka penyimpanan.Informasi ini harus mencakup seluruh data
sistem yang ada dan yang terhubung dengan infrastruktur jaringan. Informasi ini
akan digunakan oleh auditor untuk membantu menafsirkan hasil langkah audit
berikutnya.
- Dapatkan versi perangkat lunak dan bandingkan dengan Kebijakan Persyaratan
Tinjau versi perangkat lunak untuk
memastikan bahwa perusahaan mematuhi kebijakan. Perangkat lunak yang sudah tua mungkin
memiliki masalah keandalan, kinerja, atau masalah keamanan dan kesulitan dalam
mengelola platform penyimpanan. Selain itu, versi perangkat lunak yang berbeda
mungkin meningkatkan cakupan tanggung jawab administrator saat dia mencoba
mengontrol berbagai versi yang berjalan di platform penyimpanan.
- Verifikasi kebijakan dan prosedur yang ada untuk mengidentifikasi kapan sebuah patch tersedia untuk mengevaluasi dan menerapkan patch yang berlaku.Pastikan semua patch yang disetujui dipasang sesuai kebijakan
Sebagian besar storage vendor secara
teratur menjadwalkan rilis patch. Anda harus siap untuk rilis yang dijadwalkan
sehingga anda dapat merencanakan dengan tepat untuk pengujian dan pemasangan patch.
Jika semua patch tidak terpasang, akan banyak kerentanan keamanan atau masalah
kinerja yang dapat terjadi.
- Tentukan layanan dan fitur apa yang diaktifkan di sistem dan mendiskusikan kebutuhan mereka kepada sistem administrator.
Layanan dan fitur yang tidak diperlukan
dapat meningkatkan risiko kesalahan konfigurasi, kerentanan,dan masalah kinerja
dan mempersulit upaya pemecahan masalah.
Account Management
- Meninjau dan mengevaluasi prosedur pembuatan akun administrator dan memastikan akun hanya dibuat bila ada kebutuhan bisnis yang sah. Juga tinjau dan evaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu jika terjadi penghentian atau perubahan pekerjaan.
Kontrol yang efektif harus
dapat mengatur pembuatan dan penghapusan
akun administrator. Kurangnya kontrol dapat mengakibatkan akses yang tidak perlu
ke dalam sistem, dan dapat membahayakan integritas dan ketersediaan data
sensitif.
- Evaluasi proses dan kebijakan yang digunakan untuk pemberian dan pencabutan akses ke penyimpanan
Kebijakan tertulis harus mengatur
proses yang digunakan untuk membuat alokasi penyimpanan baru, termasuk proses
persetujuan dan prosedur untuk menyiapkan area kerja baru dan pengguna yang
seharusnya memiliki akses ke alokasi penyimpanan baru. Kebijakan atau prosedur
juga harus ada untuk "membersihkan" atau menghapus hak yang tidak
lagi dibutuhkan saat sebuah proyek selesai
Storage Management
- Evaluasi bagaimana pengelolaan kapasitas penyimpanan untuk mendukung kebutuhan bisnis yang ada.
Persyaratan teknis dan bisnis
untuk penyimpanan dapat berubah dengan cepat, didorong oleh perubahan
infrastruktur, hubungan bisnis, kebutuhan pelanggan, dan peraturan persyaratan.
Infrastruktur penyimpanan yang tidak memadai mengakibatkan perusahaan berisiko
kehilangan data penting dan dapat menghalangi fungsi bisnis penting yang
membutuhkan lebih banyak penyimpanan.
- Evaluasi bagaimana pengelolaan performa penyimpanan untuk mendukung bisnis yang ada.
Performa penyimpanan didorong
oleh beberapa faktor, yaitu media penyimpanan fisik, protokol komunikasi,
jaringan, ukuran data, CPU, memori, arsitektur RAID, data tiering strategies,
dan sejumlah faktor lainnya. Tempat penyimpanan infrastruktur yang tidak
memadai berisiko menghilangan data penting dan dapat menghambat fungsi bisnis
yang membutuhkan penyimpanan lebih baik atau kinerja yang lebih baik.
- Evaluasi kebijakan, proses, dan kontrol untuk frekuensi backup data, penanganan, dan remote storage.
Tantangan monumental bagi
organisasi, terutama ketika menyangkut hal tersebut repositori data dalam
organisasi, yaitu database dan platform penyimpanan. Vendor menawarkan beberapa
solusi untuk mengatur frekuensi, handling, dan remote storage backup data dan
sistem Campuran solusi yang diimplementasikan harus sesuai memenuhi tujuan yang
dinyatakan
Additional Security Controls
- Verifikasi bahwa enkripsi data-at-rest telah diimplementasikan dengan benar.
Langkah ini tidak
tepat untuk
semua lingkungan dan dapat ditutupi oleh kontrol atau aplikasi lain. Enkripsi data-at-rest lebih penting
daripada bentuk enkripsi lainnya karena masa pakai data pada disk jauh lebih
lama dari pada masa pakai data pada jaringan. Anda akan
melihat dimana
data kemungkinan besar akan dicuri, langsung dari tempat penyimpanan, bukan saat
melintasi jaringan.
- Verifikasi
bahwa enkripsi jaringan dari data-in-motion telah
diimplementasikan dengan benar.
Persyaratan kebijakan mungkin
memerlukan lalu lintas terenkripsi untuk aplikasi yang mengandung informasi
sensitif atau untuk membuat cadangan penyimpanan ke lokasi lain.Enkripsi
jaringan adalah Diimplementasikan
untuk dua alasan utama: untuk melindungi kredensial otentikasi saat mereka
bergerak melintasi jaringan, dan untuk melindungi data aktual saat bergerak
melalui jaringan...
- Evaluasi tingkat rendah dan kontrol teknis di tempat segregate atau firewall data yang sangat sensitif di storage
Kontrol harus ada yang membatasi
akses terhadap informasi sensitif seperti pemegang kartu data (CHD), informasi
identitas pribadi (PII), kode sumber, dan jenis data kepemilikan lainnya,
termasuk hak administratif untuk admin. Jika enkripsi digunakan, jelaskan di
sini dan evaluasi penanganan kunci, termasuk pemberian dan pencabutan hak,
kunci, dan sertifikat.
- Meninjau
dan mengevaluasi prosedur administrator sistem untuk
pemantauan keamanan
Administrator penyimpanan harus
secara teratur memantau lingkungan untuk perubahan dan juga meninjau lingkungan
untuk kerentanan keamanan. Program pemantauan yang buruk dapat membiarkan
insiden keamanan terjadi tanpa sepengetahuan administrator. Dengan melakukan
pemantauan,yaitu aktif mengawasi masalah yang ada(deteksi) dan secara aktif
mencarinya jalan keluar (menemukan dan mengurangi kerentanan).
- Lakukan
langkah-langkah dari Bab 4, "Pusat Data Audit dan
Disaster Recovery, "karena berkaitan dengan sistem yang Anda audit.
Selain mengaudit keamanan sistem
secara logis, Anda harus memastikannya sesuai kontrol fisik dan operasi ada untuk memberikan perlindungan
sistem dan ketersediaan.
Referensi langkah-langkah dari Bab 4, dan melakukan relevansi dengan sistem yang
diaudit Misalnya, topik berikut yang cenderung relevan:
Referensi langkah-langkah dari Bab 4, dan melakukan relevansi dengan sistem yang
diaudit Misalnya, topik berikut yang cenderung relevan:
• Persediaan aset
• Keamanan fisik
• Kontrol lingkungan
• Perencanaan kapasitas
• Manajemen perubahan
• Pemantauan sistem
• Proses backup
• Perencanaan pemulihan bencana
Referensi : IT Auditing: Using Controls to Protect Information Assets Second Edition
Referensi : IT Auditing: Using Controls to Protect Information Assets Second Edition
