The Blog

Dear Kanjeng Pembaca sekalian,… sebagaimana pembahasan pada artikel sebelumnya,… memang untuk membuat suatu sistem data center yang ‘tangguh’ tentu harus juga merancang arsitektur IT … yang dapat memitigasi suatu serangan siber …!!! So ‘point of view’ nya bagaimana hacker itu dibikin ‘ruwet’ … alias diping-pong sampai ‘mumet’ akhirnya gak ‘doyan’ untuk meretas ransomware …!!!

Pertama adalah tentu ada rancangan dari sisi network… mana yang wilayah DMZ, mana wilayah server farm, mana yang akan terhubung dengan internet,… mana yang akan terhubung dengan extranet… dan mana yang intranet …!!! Sedapat mungkin ‘mengurangi’ sistem terhubung dengan internet …!!! So case nya harus dilihat dan dipilah-pilah… kalau tidak bisa dihindari interkoneksi ke internet … dapat terhubung dengan berbagai security tentunya …!!! Namun jika hanya sekedar koneksi headquarter dengan branch… yaaagh ini bisa menggunakan WAN Intranet aza …!!! Kalau mau terhubung misalnya 1 entity dengan entity lain… bisa terhubung dengan extranet …!!! So case untuk suatu company dengan company lain tentu gak sama …!!! 

Kemudian secara arsitektur… so hindari konsep ‘single sign-on’ …. memang konsep ini memudahkan orang IT kerja… namun jangan diikuti… kalau mau selamat… yaaagh pasti orang IT harus dibikin repooot …!!! Kalau platform berbasis windows… harus dilakukan segmentasi… jadi administrator hanya bisa handle misalnya domain, kemudian server-server gak usah join domain… konsekuensi logis setiap server kalau mau update virus … harus satu-satu … just do it …!!! Pengalaman telah membuktikan… kasus ransomware yang kena di platform windows… server yang gak join domain malah selamat …!!!

Kalau platform unix… tentu memang akan sendiri-sendiri… admin suatu server akan berbeda dengan admin server unix lain …!!! So karena designnya sudah seperti ini… biasanya hacker gak doyan untuk memangsa platform unix …!!! Kemudian arsitektur sekarang khan lebih ke arah 3 tier… dimana ada web server, apps server dan database server …!!! Naaagh disini harus diterapkan perbedaan segment… dan communication antara web ke apps dan dari apps ke database server… harus dipastikan port yang dibuka hanya yang dibutuhkan (default off, case by case dibuka) … dan IP sumber ke IP target juga harus difilter …!!! 

Selanjutnya data center juga harus dirancang ada data center dan ada data recovery center …!!! Best Practice nya adalah 3 (tiga) Data Center… dimana ada Data Center 1, Data Center 2 dan Disaster Recovery Center (DRC) …!!! DC 1 dan DC2 letaknya berdekatan dimana jaraknya kurang dari 60 km… sedangkan DRC terletak jauh atau beda pulau… untuk mengantisipasi misalnya ada gempa bumi / natural disaster yang punya potensi menghancurkan DC1 dan DC2 …!!!

Kemudian aplikasi yang berjalan juga harus diperkuat dengan rancangan security … misalnya kalau hanya melayani korporasi gak ritel… bisa dirancang akses hanya extranet, kemudian setiap koneksi difilter IP users mana saza … kemudian setiap komputer yang akan mengakses hanya bisa mengakses aplikasi dengan tambahan USB dongle atau dilakukan two factor authentication …!!! So dengan cara USB dongle misalnya… hanya komputer tertentu yang dilengkapi dengan USB dongle tersebut yang bisa akses …!!! Kemudian harus ada certificate SSL … selain itu password nya pun disimpan dalam database server dan dienkripsi… dan gak terhubung dengan domain …!!!

So dari sini saza sudah ruweeet kalau mau mengakses… belum lagi ada masa berlakunya untuk USB dongle tersebut …!!! Kemudian untuk data yang tersimpan di database… dilakukan replication… misalnya kalau oracle menggunakan oracle dataguard … direplikasi dari DC1 ke DC2 … dan dari DC2 ke DRC …!!! Selanjutnya di setiap data center, data harus dibackup… misalnya menggunakan veritas netbackup… so untuk mempercepat backup bisa menggunakan disk-to-disk-to-tape …!!! Khusus untuk production site… semua administrator password harus dipegang oleh permanent employee… jangan diserahkan kepada non-permanent employee … apalagi vendor …!!! Last,… rancangan arsitektur ini penting,.. ketika rancangan dibuat untuk keamanan dan ketahanan siber… tentu ada konsekuensi logisnya… dan jaman digital sekarang ini… gak ada pilihan tentang hal ini… betuuul …??? Ciaooo 😀