Software-Defined Perimeter: Apa Itu Dan Bagaimana Cara Kerjanya

Software-Defined Perimeter: Apa Itu Dan Bagaimana Cara Kerjanya – Semakin banyak organisasi menarik garis tak terlihat di sekitar sumber daya mereka yang terhubung ke internet dalam upaya untuk mencegah penyerang. Disebut perimeter yang ditentukan perangkat lunak (software-defined perimeter (SDP), ini didasarkan pada gagasan yang relatif sederhana untuk melemparkan penghalang virtual di sekitar server, router, printer, dan komponen jaringan perusahaan lainnya.

Software-Defined Perimeter: Apa Itu Dan Bagaimana Cara Kerjanya

portknocking – Tujuan SDP adalah untuk melindungi jaringan di balik perimeter berbasis perangkat lunak yang fleksibel. “Keuntungannya termasuk keamanan yang lebih kuat serta fleksibilitas dan konsistensi yang lebih besar,” kata Ron Howell, arsitek SD-WAN dan SASE utama di perusahaan konsultan TI dan bisnis Capgemini Americas. Ini dapat mengatasi tantangan keamanan yang menjadi lebih kompleks dengan munculnya aplikasi yang dibangun dari layanan mikro yang dapat ditempatkan di lebih dari satu server daripada aplikasi monolitik tradisional yang umumnya berada di server khusus. “Baru-baru ini, aplikasi telah dimodulasi lebih lanjut, mereka sekarang terdiri dari beberapa jenis beban kerja dan layanan mikro di pusat data organisasi atau cloud publik,” kata Chad Skipper, teknolog keamanan global untuk VMware.

Baca Juga : Kerentanan Perangkat Lunak Melampaui Apa Yang Anda Pikirkan

Apa itu SDP?

Kerangka kerja SDP mengaburkan server atau node, biasanya pada jaringan internal, kata Chalan Aras, direktur pelaksana, risiko siber dan strategis, di perusahaan penasihat bisnis Deloitte. “SDP menggunakan identitas dan metode pembuktian lainnya untuk memungkinkan visibilitas dan konektivitas ke node jaringan atau server dengan hak istimewa atau kebutuhan akses paling rendah.” SDP dirancang khusus untuk mencegah elemen infrastruktur dilihat secara eksternal.

Perangkat keras, seperti router, server, printer, dan hampir semua hal lain yang terhubung ke jaringan perusahaan yang juga terhubung ke internet disembunyikan dari semua pengguna yang tidak diautentikasi dan tidak sah, terlepas dari apakah infrastrukturnya ada di cloud atau di tempat. “Ini membuat pengguna tidak sah mengakses jaringan itu sendiri dengan mengautentikasi terlebih dahulu dan mengizinkan akses kedua,” kata John Henley, konsultan utama, keamanan siber, dengan firma penasihat riset teknologi ISG. “SDP tidak hanya mengotentikasi pengguna, tetapi juga perangkat yang digunakan.

Manfaat SDP

Jika dibandingkan dengan pendekatan perimeter tetap tradisional seperti firewall, SDP memberikan keamanan yang sangat ditingkatkan. Karena SDP secara otomatis membatasi akses pengguna yang diautentikasi ke segmen jaringan yang ditentukan secara sempit, sisa jaringan dilindungi jika identitas resmi dikompromikan oleh penyerang.

“Ini juga menawarkan perlindungan terhadap serangan lateral, karena bahkan jika penyerang memperoleh akses, mereka tidak akan dapat memindai untuk menemukan layanan lain,” kata Skipper. Manfaat utama SDP sederhana: menciptakan tingkat perlindungan jaringan yang lebih tinggi. “SDP telah berperan penting dalam melindungi perusahaan dari banyak vektor serangan yang berbeda, termasuk penolakan layanan, kekerasan, pencurian kredensial, man-in-the-middle, eksploitasi server, dan pembajakan sesi,” kata Henley.

Manfaat SDP lainnya termasuk kontrol akses yang diperkuat dan disederhanakan, permukaan serangan yang berkurang, manajemen kebijakan yang disederhanakan, dan pengalaman pengguna akhir yang secara umum ditingkatkan.Karena SDP dapat dikonfigurasi secara dinamis, SDP sangat cocok untuk melindungi lingkungan yang berubah dengan cepat seperti pengguna perusahaan yang mengakses aplikasi, atau lingkungan aplikasi dengan banyak layanan mikro yang muncul, diskalakan, atau dihentikan secara real-time, kata Aras.

Cara kerja SDP

SDP memvalidasi pengguna dan aplikasi dengan mengautentikasi mereka sebelum menghubungkan mereka ke bagian jaringan yang terbatas secara granular. Mikrosegmentasi ini, dibuat dengan memetakan ulang DNS dan ruang alamat IP, memberi pengguna yang berwenang akses yang mereka butuhkan sambil menolak mereka mengakses sumber daya yang tidak mereka perlukan. Ini pada dasarnya menciptakan jaringan individu, masing-masing dengan jumlah node yang terbatas sehingga jika aktor jahat berhasil mendapatkan akses, kerusakan yang mereka sebabkan dapat dibatasi.

Pusat arsitektur SDP adalah pengontrol, perangkat lunak yang memfasilitasi menghubungkan pengguna dan perangkat yang mencari akses (inisiasi host) dengan sumber daya yang mereka cari, seperti aplikasi dan server (menerima host). Kontroler mengotentikasi host yang memulai dan menentukan daftar host penerima yang diizinkan untuk terhubung. Kontroler menginstruksikan semua host penerima yang berwenang untuk menerima komunikasi dari host yang memulai dan membagikan daftar dengan host yang memulai. Host yang memulai kemudian dapat membuat koneksi VPN langsung dengan host yang menerima.

Dalam beberapa kasus, host penerima adalah gateway yang bertindak sebagai proxy antara host yang memulai dan beberapa sumber daya yang ingin dihubungkan. Dalam kasus lain, SDP dapat diatur antara dua server yang perlu berkomunikasi seperti aplikasi modern yang dibangun di sekitar layanan mikro. Konektor dan proxy, istilah yang sering digunakan secara bergantian, mungkin berada di depan server untuk mengakses gerbang. Mereka menghubungkan dua domain jaringan bersama-sama dan melakukan fungsi jaringan seperti perutean, terjemahan alamat jaringan, dan penyeimbangan beban untuk mengarahkan lalu lintas dari satu pengguna atau aplikasi ke pengguna lain, kata Arras.

Dalam konteks layanan mikro, proksi dapat diintegrasikan ke dalam struktur layanan mikro, seperti dalam kasus proksi utusan, proksi tepi sumber terbuka yang digunakan dalam layanan mikro. Dalam jaringan layanan Istio, misalnya, proxy utusan dapat digunakan untuk menghubungkan layanan mikro sehingga aplikasi mini dapat berkomunikasi dengan aman satu sama lain dalam jaringan layanan sumber terbuka yang melapisi secara transparan ke aplikasi terdistribusi yang ada, kata Aras.

Zero Trust Network Access

Karena otentikasi yang ketat dan akses jaringan yang sangat terbatas, SDP adalah bagian penting dari Zero Trust Network Access (ZTNA), yang didasarkan pada premis bahwa tidak ada perangkat yang benar-benar aman. “Tidak ada batasan aman lagi karena perubahan tenaga kerja, aplikasi berbasis layanan mikro yang dapat menyebarkan komponen hampir di mana saja, dan sifat proses bisnis yang semakin kolaboratif,” kata Skipper, “Tidak ada perangkat yang aman: tidak ada smartphone, tidak ada periode desktop. “

Mengatasi ZTNA memerlukan akses jaringan yang dikontrol ketat dan otorisasi terbatas, dan SDP adalah tempat yang baik untuk memulai. “SDP membantu pengguna untuk mengautentikasi dengan benar sebelum akses diberikan, dan hanya untuk aplikasi yang aksesnya telah diberikan kepada pengguna tersebut,” kata Henley.

Henley memperkirakan ada lebih dari 20 vendor yang saat ini menawarkan produk SDP, termasuk Akamai (Enterprise Application Access), Cisco (Duo Beyond), Ivanti (Ivanti Neurons for Secure Access), McAfee (MVISION Private Access), Netmotion (NetMotion SDP), Verizon (Perimeter yang Ditentukan Perangkat Lunak Verizon), dan Versa (Klien Akses Aman Versa).

Menerapkan SDP juga tidak membebaskan perusahaan dari tanggung jawab untuk memelihara praktik keamanan yang ada. “Apa pun teknologi keamanan yang diterapkan organisasi Anda, atau apa namanya, mengetahui apa data penting Anda, dan di mana lokasinya, adalah kunci untuk mengetahui cara melindunginya,” kata Steve Jaworski, supervisor dengan audit, pajak, dan perusahaan konsultan RSM US.

Ingat juga, bahwa menerapkan SDP bukanlah kesepakatan sekali dan selesai. “Penting bagi organisasi untuk secara aktif memantau dan meningkatkan perangkat lunak SDP sesuai kebutuhan,” saran Jaworski. “Selain itu, pengujian harus dilakukan untuk memastikan perangkat lunak tidak bocor dan memungkinkan akses ke sumber daya yang dilindungi.”

Leave a Comment

Your email address will not be published. Required fields are marked *