5 Tools Keamanan Cloud Gratis yang Wajib Dicoba untuk Audit Infrastruktur
Ada satu momen yang selalu jadi favorit saya setiap kali mulai ngelakuin security audit buat klien baru. Momen di mana saya buka laptop, jalanin satu command sederhana, terus 10 menit kemudian layar saya penuh dengan daftar security issues — kadang sampai ratusan. Dan hampir selalu, ekspresi CTO atau VP Engineering di seberang meja berubah dari confident jadi panik dalam hitungan detik. “Kok bisa sebanyak itu?” tanya mereka. Jawabannya simpel: tools keamanan cloud gratis yang powerful itu udah banyak banget di luar sana, tapi banyak yang belum tahu atau nggak pernah nyobain.
Saya sendiri udah 8 tahun lebih main di dunia cloud security, dan sepanjang perjalanan itu, ada beberapa tools keamanan cloud gratis yang jadi andalan saya buat audit cepat, mendalam, dan — yang paling penting — reliable. Tools ini semuanya open source, bisa kamu pakai sekarang juga tanpa bayar sepeser pun, dan hasil auditnya itu loh, setara sama tools enterprise berbayar yang harganya ribuan dolar per tahun. Jadi di artikel ini saya pengen share 5 yang favorit saya, lengkap sama cara install, contoh penggunaan, dan apa yang harus kamu cari dari hasil scannya.
1. ScoutSuite — Multi-Cloud Audit dalam Satu Command
ScoutSuite adalah project open source dari NCC Group, dan jujur aja, ini tools pertama yang selalu saya jalanin setiap kali audit klien baru. Kenapa? Karena ScoutSuite itu multi-cloud — dia bisa audit AWS, Azure, dan GCP sekaligus dalam satu kali scan. Dan hasilnya itu komprehensif banget: S3 bucket policy, IAM configuration, EC2 security group, RDS encryption, Lambda permissions, CloudTrail status, dan masih banyak lagi.
Cara Install ScoutSuite
Gampang banget, tinggal:
pip install scoutsuite
Atau kalau kamu lebih suka pakai Docker (yang saya rekomendasikan biar nggak ngerusak environment lokal):
docker pull nccgroup/scoutsuite
docker run --rm -v ~/.aws:/root/.aws:ro nccgroup/scoutsuite aws
Cara Pakai untuk Scan AWS
# Scan dengan profile AWS tertentu
scout aws --profile mycompany-prod
# Scan region spesifik
scout aws --regions ap-southeast-1,ap-southeast-3
# Skip service yang nggak relevan
scout aws --no-browser --services ec2,s3,iam,rds
Begitu scan selesai, ScoutSuite bakal generate HTML report yang bisa kamu buka di browser. Dan percayalah, laporan ini bener-bener enak dibaca — colour-coded (merah buat critical, kuning buat warning, hijau buat OK), ada summary per service, dan setiap finding dikasih rekomendasi perbaikannya.
Pengalaman Pribadi: 200+ Issues dalam 10 Menit
Saya pernah audit salah satu perusahaan logistik terbesar di Indonesia. Mereka pede banget infrastruktur AWS-nya aman — soalnya baru aja lolos audit eksternal beberapa bulan sebelumnya. Saya buka laptop, jalanin ScoutSuite (single command, nggak pakai privilege escalation atau apa pun — pure read-only access dari IAM user auditor yang mereka kasih), dan 10 menit kemudian… 200-an security issues muncul di layar.
Mayoritas finding-nya adalah: S3 bucket tanpa logging (padahal isinya data shipment yang sensitive), IAM user dengan password yang nggak pernah dirotasi bertahun-tahun, EC2 security group yang allow inbound dari 0.0.0.0/0 (yes, termasuk port SSH dan RDP), dan CloudTrail yang cuma nyala di satu region. Yang paling parah: beberapa access key IAM user ditempel di file konfigurasi aplikasi yang ada di public GitHub repo. ScoutSuite nggak langsung ngasih tau soal GitHub-nya, tapi dari temuan IAM + informasi bahwa mereka deploy lewat GitHub Actions, kami bisa trace ke situ.
Apa yang Harus Kamu Cari dari Hasil ScoutSuite
Prioritas utama: yang merah dulu. Finding CRITICAL biasanya soal resource yang publicly accessible (S3 bucket terbuka, security group dengan inbound 0.0.0.0/0, AMI/RDS snapshot yang di-share public). Abis itu yang kuning: setting yang nggak sesuai best practice (password policy lemah, CloudTrail nggak enabled di semua region, encryption nggak enabled). Terus sisanya hijau — itu yang udah bener, good job!
2. Prowler — Spesialis AWS Security Assessment
Kalau ScoutSuite itu generalis (multi-cloud), Prowler itu spesialis AWS. Tools ini fokus ke AWS security best practices, dan dia ngikutin framework standar industri kayak CIS AWS Foundations Benchmark, GDPR, HIPAA, dan PCI DSS. Jadi hasil auditnya bukan cuma daftar hole, tapi juga bisa langsung dipake buat compliance assessment.
Prowler juga open source, udah lebih dari 300+ checks covering 60+ AWS services. Ini tools yang kadang saya pakai buat “second opinion” setelah ScoutSuite — karena kadang dua tools bisa nemuin hal yang berbeda.
Cara Install dan Jalankan
# Clone repo
git clone https://github.com/prowler-cloud/prowler
cd prowler
# Jalankan dengan minimal permission (ReadOnlyAccess)
./prowler -p mycompany-audit -f ap-southeast-1
# Cek compliance ke framework spesifik
./prowler -p mycompany-audit -c cis
# Cek service spesifik
./prowler -p mycompany-audit -s iam,s3,ec2
# Output ke JSON untuk di-parse lebih lanjut
./prowler -p mycompany-audit -M json -o /tmp/prowler-report
Kenapa Saya Suka Prowler
Beberapa hal yang bikin Prowler jadi tools wajib di toolkit saya:
Pertama, compliance mapping-nya detail banget. Kamu bisa liat hasil audit dipetakan ke kontrol CIS, AWS Foundational Security Best Practices, atau framework lain. Ini ngebantu banget kalau kamu lagi prepare buat compliance audit (ISO 27001, SOC 2, etc).
Kedua, output-nya mudah diintegrasikan. Format JSON-nya bisa di-feed ke SIEM atau custom dashboard. Format CSV-nya bisa dibuka di Excel buat tracking remediation.
Ketiga, checks-nya selalu up-to-date. Komunitas Prowler aktif banget nambahin checks baru begitu AWS release service baru atau ada best practice baru. Jadi kamu nggak ketinggalan.
Contoh finding yang sering Prowler temuin tapi kadang kelewat tools lain: KMS key rotation yang nggak enabled, CloudFront distribution tanpa WAF, dan ECR image scanning di level repository yang nggak nyala. Detail-detail kayak gini yang bikin beda antara “kayaknya aman” dan “beneran aman”.
3. Trivy — Scanning Keamanan Container dan Infrastruktur
Trivy awalnya terkenal sebagai container vulnerability scanner. Tapi sekarang dia udah jauh lebih dari itu. Trivy bisa scan container image, filesystem, git repository, Kubernetes cluster, dan bahkan Infrastructure as Code (Terraform, CloudFormation, Dockerfile) buat misconfigurations. Semua di satu tools.
Saya pribadi pakai Trivy di dua tahap: pertama pas development (integrated ke CI/CD pipeline), kedua pas auditing klien (buat scan image yang udah jalan di production).
Cara Install
# Linux/Mac
curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh
# Atau pakai Docker
docker pull aquasec/trivy
Contoh Penggunaan
# Scan container image
trivy image nginx:1.21
# Scan filesystem
trivy filesystem /path/to/my/code
# Scan git repository (buat cari secret yang ke-commit)
trivy repo https://github.com/mycompany/myapp
# Scan Kubernetes cluster
trivy k8s cluster --severity CRITICAL,HIGH
# Scan Terraform plan
trivy config ./terraform/
# Scan Dockerfile untuk misconfiguration
trivy config ./Dockerfile
Yang Paling Sering Ketemu
Dari pengalaman saya, Trivy paling sering nemuin:
- Vulnerability di base image (bahkan official image kadang ada CVE)
- Secret (password, API key) yang ke-commit di Dockerfile atau config file
- Misconfiguration di Terraform (security group terlalu terbuka, S3 bucket tanpa encryption)
- Kubernetes pod yang jalan sebagai root
Satu fitur Trivy yang kadang underrated: secret scanning. Banyak developer nggak sadar kalau mereka pernah commit .env file atau hardcode credential di config — dan Trivy bakal nemuin itu semua, bahkan di commit history. Fitur ini udah nyegah banyak insiden buat klien saya.
4. Cloudsploit (Aqua) — Continuous Cloud Security Monitoring
Cloudsploit awalnya proyek open source yang independent, terus diakuisisi sama Aqua Security. Versi open source-nya masih tersedia dan masih bisa dipakai. Cloudsploit melakukan real-time scanning terhadap akun cloud kamu dan ngecek ratusan potential security misconfigurations.
Bedanya sama ScoutSuite dan Prowler: Cloudsploit lebih fokus ke continuous monitoring. Dia nggak cuma one-time scan, tapi bisa di-setup buat jalan secara berkala (misalnya setiap jam) dan ngirim alert kalau ada perubahan yang mencurigakan.
Cara Install
git clone https://github.com/aquasecurity/cloudsploit.git
cd cloudsploit
npm install
# Setup credential (copy config template)
cp config_example.js config.js
# Edit config.js, masukin AWS credential
Cara Pakai
# Scan semua service
node index.js
# Scan service spesifik
node index.js --services s3,iam,ec2
# Scan region spesifik
node index.js --region ap-southeast-1
# Output hanya yang FAIL (filter yang OK)
node index.js --ignore-ok
Plugin yang Wajib Diperhatikan
Cloudsploit punya konsep plugin — setiap security check itu satu plugin terpisah. Beberapa plugin yang sering banget nge-flag finding critical:
s3BucketPublicAccess— ini udah obviousiamUserWithoutMFA— console users tanpa MFA = big noec2SecurityGroupOpenAllPorts— security group dengan inbound 0.0.0.0/0 untuk semua portrdsPubliclyAccessible— RDS instance yang bisa diakses dari internetcloudtrailEnabled— harus nyala di semua region
Menariknya, karena Cloudsploit terstruktur sebagai plugin, kamu bisa bikin custom plugin sendiri untuk ngecek requirement security internal perusahaan kamu. Dokumentasinya jelas dan komunitasnya cukup aktif.
5. CloudMapper — Visualisasi dan Audit AWS dari Duo Security
CloudMapper berbeda dari keempat tools sebelumnya. Kalau tools lain fokus ke scanning dan reporting, CloudMapper fokus ke visualisasi. Dia bikin interactive map dari seluruh infrastruktur AWS kamu, lengkap dengan hubungan antar resource — EC2 mana yang connected ke RDS mana, security group mana yang nge-allow traffic ke mana, IAM role mana yang attach ke resource apa.
CloudMapper dibuat oleh Duo Security (sekarang bagian dari Cisco), dan selain visualisasi, dia juga punya fitur audit commands yang bisa ngecek security issues.
Cara Install
git clone https://github.com/duo-labs/cloudmapper.git
cd cloudmapper
python3 -m venv venv
source venv/bin/activate
pip install -r requirements.txt
Cara Pakai
# Kumpulin data dari akun AWS
python cloudmapper.py collect --account mycompany
# Generate report
python cloudmapper.py report --account mycompany
# Jalankan audit
python cloudmapper.py audit --account mycompany
# Generate visualisasi (web server lokal)
python cloudmapper.py webserver
# Buka http://localhost:8000
Kenapa CloudMapper Penting
Dari semua tools di list ini, CloudMapper adalah tools yang paling sering bikin saya nemuin “hidden risk” — sesuatu yang mungkin nggak langsung kelihatan sebagai finding individual, tapi begitu kamu liat hubungan antar resource-nya, baru deh kelihatan kalau itu berbahaya.
Contoh nyata: saya pernah audit sebuah startup yang punya microservice arsitektur lumayan kompleks. Secara individual, semua resource mereka kelihatan aman. Tapi begitu saya generate CloudMapper visualization, saya langsung notice bahwa database production mereka (RDS) ternyata bisa diakses dari development EC2 instance yang kebetulan ada di security group yang sama — dan EC2 development itu punya SSH yang terbuka dari luar karena developer sering remote dari rumah. Jadi jalur serangannya: attacker brute force SSH ke EC2 dev → dari EC2 dev akses RDS production. Individual audit nggak bakal nemuin rantai kayak gini, tapi visualisasi langsung nunjukin dengan jelas.
Penutup: Tools Itu Cuma Alat, Action yang Penting
Kelima tools keamanan cloud gratis di atas adalah senjata yang powerful banget di arsenal kamu. Tapi ingat: tools itu cuma alat bantu. Hasil scan yang keluar — mau itu 5, 50, atau 500 findings — cuma berguna kalau kamu follow up dengan action. Banyak banget perusahaan yang udah punya laporan audit setebel 100 halaman tapi nggak pernah di-remediate finding-nya.
Jadi saran saya: mulai dari satu tools dulu. Pilih yang paling relevan sama stack kamu — kalau multi-cloud pakai ScoutSuite, kalau full AWS mungkin Prowler lebih cocok, kalau banyak container pakai Trivy. Jalanin scannya, baca hasilnya dengan teliti, prioritasin yang critical, dan mulai fix satu-satu. Begitu udah bersih, baru tambahin tools lain buat second opinion. Jangan overwhelm diri sendiri dengan 5 tools sekaligus di awal.
Dan yang terakhir, ingat prinsip yang selalu saya pegang: kamu nggak bisa secure apa yang kamu nggak tahu. Tools ini bantu kamu “tahu” — jadi kamu bisa mulai “secure”. Selamat mencoba, dan semoga nggak nemu 200+ critical finding kayak klien saya!