Apa itu Arsitektur Keamanan?

Arsitektur keamanan adalah desain strategis kebijakan, teknologi, dan proses yang membantu melindungi serta mengamankan aset organisasi. Pengamanan aset dan sistem mengurangi risiko siber, meningkatkan keberlangsungan bisnis selama peristiwa berlangsung, dan mempercepat upaya pemulihan. Arsitektur keamanan yang selaras dengan tujuan bisnis dan persyaratan kepatuhan adalah pilar utama organisasi modern.

Arsitektur keamanan menyediakan pendekatan terstruktur untuk keamanan siber, yang memungkinkan pencegahan, deteksi, dan respons terhadap peristiwa keamanan. 

Arsitektur keamanan yang didesain dengan baik mencakup kontrol, kebijakan, dan teknologi keamanan untuk memperkuat strategi keamanan siber Anda. Arsitek keamanan menerapkan kerangka kerja, pola desain, alat, dan proses untuk meningkatkan postur keamanan organisasi. 

Apa saja manfaat dari arsitektur keamanan yang kuat?

Organisasi menerapkan arsitektur keamanan untuk beroperasi dan berkembang dengan lebih percaya diri di lingkungan cloud dan on-premise. Arsitektur keamanan yang efektif membantu melindungi jaringan, aplikasi, titik akhir, dan aset digital lainnya dari akses yang tidak sah.

Dalam bisnis, penerapan arsitektur keamanan yang kuat mengurangi risiko data serta meningkatkan kepatuhan terhadap keamanan siber dan undang-undang privasi data. Setiap organisasi memiliki persyaratan keamanan yang unik. Oleh karena itu, arsitek keamanan menyesuaikan arsitektur untuk memenuhi tujuan keamanan tertentu, konfigurasi sumber daya, dan kebutuhan bisnis. 

Dengan demikian, organisasi lebih responsif terhadap ancaman siber yang ada dan yang muncul, undang-undang kepatuhan yang berkembang, serta harapan pelanggan terkait privasi data. Dengan menggabungkan alat dan praktik keamanan, Anda dapat mengurangi waktu henti, meningkatkan keberlangsungan bisnis dalam layanan yang krusial, dan pulih lebih cepat dari insiden keamanan.

Arsitektur keamanan yang kuat, berdasarkan desain, meningkatkan kerahasiaan, integritas, dan ketersediaan data, sistem, serta layanan. Arsitektur secara strategis menggabungkan alat, kerangka kerja, dan praktik terbaik keamanan lainnya. 

Kerahasiaan

Kerahasiaan membantu mencegah akses tidak sah ke data organisasi. Tim keamanan menggunakan metode perlindungan data seperti enkripsi, kontrol akses, dan komunikasi pribadi untuk menjaga kerahasiaan. Dengan cara ini, hanya pengguna dengan izin sah yang dapat mengakses data sensitif.

Integritas

Integritas mengacu pada data yang tetap tidak berubah saat informasi melewati berbagai sistem. Untuk membantu mencegah pengubahan tidak sah, tim keamanan menerapkan teknik seperti validasi data, tanda tangan digital, dan checksum.

Ketersediaan

Ketersediaan membuat data dan layanan dapat diakses oleh pengguna sambil mempertimbangkan semua aspek persyaratan keamanan. Pemulihan bencana, replikasi data, dan infrastruktur cloud yang toleran terhadap kesalahan membantu meningkatkan ketersediaan selama peristiwa keamanan. 

Autentikasi dan otorisasi

Autentikasi membantu memastikan bahwa hanya pengguna yang disetujui yang dapat mengakses sumber daya yang dilindungi. Ketika pengguna masuk, sistem memvalidasi kredensial mereka melalui sistem autentikasi, yang dapat mencakup biometrik dan kata sandi, sebelum memberikan akses. 

Otorisasi menyediakan akses ke jaringan, data, serta layanan perusahaan berdasarkan peran dan tanggung jawab pengguna. Tim keamanan menggunakan metode seperti kontrol akses berbasis peran (RBAC) dan prinsip hak akses paling rendah untuk menentukan ruang lingkup akses. 

Pengauditan dan pembuatan log

Log audit memberikan bukti berbasis waktu untuk menganalisis, menyempurnakan, dan menskalakan implementasi arsitektur keamanan siber. Log audit ini membantu tim keamanan dalam menyelidiki insiden, meningkatkan langkah-langkah yang ada, dan memastikan kepatuhan terhadap persyaratan peraturan. 

Keamanan jaringan

Keamanan jaringan mencakup langkah-langkah proaktif untuk mencegah, mengidentifikasi, dan memitigasi akses tidak sah ke jaringan yang dilindungi. Tim keamanan men-deploy solusi seperti sistem deteksi intrusi, jaringan privat virtual, segmentasi jaringan, dan firewall aplikasi web untuk menegakkan keamanan jaringan. 

Keamanan titik akhir

Keamanan titik akhir membantu melindungi komputer, server, mesin virtual, dan perangkat lain di jaringan dari program yang berbahaya dan tanda-tanda eksploitasi. Solusi keamanan titik akhir dapat memindai perangkat secara otomatis guna melihat adanya kerentanan, menerapkan patch, dan melaporkan aktivitas yang mencurigakan untuk penyelidikan lebih lanjut. 

Keamanan aplikasi

Keamanan aplikasi berfokus pada praktik pengodean yang aman, analisis kerentanan, dan pengujian perangkat lunak untuk mengurangi risiko keamanan di lingkungan produksi. Untuk mengatasi kerentanan lebih awal, developer perangkat lunak melakukan tinjauan kode, pengujian penetrasi, pemeriksaan ketergantungan, dan praktik keamanan otomatis lainnya.

Pola arsitektur keamanan adalah praktik standar yang membantu tim keamanan secara konsisten menerapkan praktik terbaik dan langkah-langkah pertahanan yang dapat diskalakan. Ini adalah contoh umum. 

Pertahanan mendalam

Pertahanan mendalam menambahkan beberapa lapisan langkah-langkah keamanan untuk melindungi organisasi dari ancaman internal dan eksternal. Hal ini bertujuan untuk mengurangi ancaman pada lapisan yang lebih dalam jika lapisan luar gagal. Misalnya, tim keamanan membutuhkan pengguna untuk menetapkan kata sandi yang kuat sebagai lapisan perlindungan pertama. Kemudian, mereka memperkuat pertahanan dengan menambahkan program anti-malware, gateway yang aman, manajemen patch otomatis, dan solusi pemulihan bencana. 

Aman berdasarkan desain

Aman berdasarkan desain adalah pola desain yang menyematkan keamanan siber di seluruh siklus hidup pengembangan perangkat lunak (SDLC). Dengan menyematkan solusi keamanan dari awal proyek perangkat lunak, alih-alih hanya dalam pengujian pasca-pengembangan, pola ini mengurangi kerentanan sistem dan waktu yang dihabiskan untuk remediasi.

Zero trust

Zero trust adalah model keamanan yang berpusat pada gagasan bahwa akses ke data tidak boleh semata-mata dibuat berdasarkan lokasi jaringan. Model ini mengharuskan pengguna dan sistem untuk membuktikan identitas dan ketepercayaan dengan kuat, serta menerapkan aturan otorisasi berbasis identitas yang terperinci sebelum mengizinkan mereka mengakses aplikasi, data, dan sistem lainnya. 

Dengan zero trust, identitas ini sering kali beroperasi dalam jaringan sadar identitas yang sangat fleksibel yang makin mengurangi luas permukaan, menghilangkan jalur yang tidak diperlukan menuju data, dan menyediakan batasan pengaman keamanan luar yang mudah. 

Desain API

Aplikasi perangkat lunak menggunakan antarmuka pemrograman aplikasi (API) untuk bertukar data dengan layanan pihak ketiga. Desain API adalah proses pengembangan, pengujian, dan deployment API. Saat mendesain API, developer menggunakan berbagai metode untuk membantu mengamankan data perangkat lunak internal dari paparan publik. Misalnya, API dapat memerlukan verifikasi untuk mengautentikasi dan memvalidasi aplikasi pihak ketiga sebelum membuat saluran komunikasi yang aman. 

Enkripsi data diam dan bergerak

Enkripsi mengacak data sehingga hanya penerima sah yang dapat membacanya. Dengan mengenkripsi data di lapisan aplikasi, jaringan, dan penyimpanan, Anda dapat membantu melindungi privasi data serta mengurangi risiko insiden.

Arsitek keamanan siber menggunakan kerangka kerja ini untuk memandu strategi, implementasi, dan prinsip mereka dalam mengamankan aset digital.

OWASP Top Ten

Open Web Application Security Project (OWASP) Top Ten adalah sebuah daftar kerentanan keamanan umum dalam aplikasi web. Arsitek keamanan dan developer menggunakan daftar tersebut untuk membandingkan aplikasi mereka terhadap ancaman keamanan. Daftar ini memberikan panduan dan contoh cara memitigasi ancaman saat mengembangkan aplikasi. 

Kerangka Kerja Keamanan Siber NIST

Kerangka Kerja Keamanan Siber NIST adalah seperangkat panduan sukarela yang diproduksi oleh Institut Standar dan Teknologi Nasional pemerintah AS yang membantu organisasi menilai dan mengelola risiko keamanan. Kerangka kerja ini memberikan implementasi keamanan yang dapat diadopsi oleh organisasi di seluruh industri untuk memperkuat ketahanan sibernya. Tim keamanan mendesain strategi serta arsitektur keamanan siber mereka di enam fungsi inti: Mengatur, Mengidentifikasi, Melindungi, Mendeteksi, Merespons, dan Memulihkan.

ISO 27001

ISO 27001 adalah standar keamanan internasional yang dibuat oleh Organisasi Standar Internasional yang memberikan panduan untuk menetapkan, mengoperasikan, meningkatkan, dan menerapkan solusi keamanan bagi manajemen informasi. Anda dapat memperoleh sertifikasi ISO 27001 sebagai bukti komitmen untuk menjaga data pelanggan. 

AWS Security Reference Architecture

AWS Security Reference Architecture (SRA) memberikan panduan untuk menggunakan layanan AWS guna meningkatkan keamanan lingkungan AWS Cloud. Dengan AWS SRA, arsitek perangkat lunak dapat menyelaraskan beban kerja cloud mereka dengan praktik yang direkomendasikan oleh AWS dan memenuhi tujuan keamanan organisasi mereka.

Organisasi menggunakan alat arsitektur keamanan untuk membantu melindungi data sensitif, memungkinkan respons insiden tepat waktu, dan membantu memitigasi potensi ancaman. 

Informasi keamanan dan manajemen peristiwa (SIEM)

Sistem informasi keamanan dan manajemen peristiwa (SIEM) menganalisis aktivitas dari komputer, aplikasi, dan sistem di lingkungan organisasi untuk aktivitas yang mencurigakan. Dengan mengonsolidasikan data ini, SIEM menyediakan intelijen ancaman waktu nyata, yang memungkinkan tim untuk segera merespons potensi insiden. 

Manajemen identitas dan akses (IAM)

Manajemen identitas dan akses (IAM) adalah alat keamanan yang memberi pengguna akses ke sistem, data, dan aplikasi. Solusi IAM memverifikasi identitas pengguna dengan mencocokkan kredensial mereka dengan sistem internal, lalu memberikan akses berdasarkan izin sumber daya yang ditetapkan kepada pengguna. 

Manajemen kerentanan otomatis

Pemindai kerentanan adalah solusi keamanan yang membantu mendeteksi masalah keamanan di jaringan, komputer, dan aplikasi Anda. Arsitek keamanan menggunakan pemindaian kerentanan untuk mengidentifikasi celah keamanan seperti kelemahan kode, kerentanan zero-day, dan kesalahan konfigurasi jaringan. 

Deteksi dan respons titik akhir (EDR)

Deteksi dan respons titik akhir (EDR) adalah jenis perangkat lunak keamanan titik akhir yang terus memantau perangkat seperti perute, mesin virtual, dan komputer pada jaringan perusahaan. Jika mendeteksi perilaku yang tidak normal, program yang berbahaya, atau upaya akses yang tidak sah, perangkat lunak EDR dapat memulai respons otomatis atau menginformasikan tim keamanan.  

Manajemen postur keamanan cloud (CSPM)

Manajemen postur keamanan cloud (CSPM) memungkinkan Anda menilai, mendeteksi, dan meremediasi risiko keamanan di lingkungan multicloud. CSPM memberikan gambaran keamanan cloud yang holistik di seluruh organisasi, termasuk skor postur keamanan. Organisasi menggunakan CSPM sebagai bagian dari model tanggung jawab bersama saat men-deploy, mengelola, dan menginovasikan beban kerja di cloud.

Anda dapat meningkatkan ketahanan siber dengan arsitektur keamanan yang komprehensif. Namun, kebijakan, alat, dan kerangka kerja keamanan yang tepat bergantung pada tujuan bisnis, risiko operasional, serta tujuan keamanan Anda. Di bawah ini adalah cara yang membantu Anda memilih arsitektur keamanan yang efektif.

1. Lakukan penilaian risiko untuk mengidentifikasi paparan organisasi Anda terhadap ancaman digital.
2. Berdasarkan temuan, kategorikan aset sesuai tingkat kepentingannya, terutama dalam hal dampak potensial pada pelanggan, karyawan, dan pemangku kepentingan lainnya.
3. Tentukan persyaratan keamanan Anda. Persyaratan tersebut dapat mencakup perlindungan titik akhir, kepatuhan terhadap peraturan, keamanan jaringan, dan respons insiden. 
4. Pilih alat, kerangka kerja, kebijakan, dan sumber daya keamanan yang sesuai untuk membangun arsitektur keamanan yang kuat. Pastikan kerangka kerja keamanan yang dipilih dapat disesuaikan dengan lingkungan cloud yang kompleks dan selaras dengan tujuan bisnis Anda. 
5. Uji arsitektur keamanan untuk membantu memastikan perlindungan yang diberlakukannya efektif terhadap potensi ancaman.

Layanan Keamanan AWS Cloud selaras dengan praktik terbaik dalam desain arsitektur keamanan. 

Amazon Detective membantu tim keamanan melakukan triangulasi temuan keamanan, menyelidiki insiden dengan visualisasi interaktif, melacak ancaman, dan menskalakan penyelidikan keamanan dengan AI generatif.

Amazon Inspector adalah layanan pemindaian dan manajemen kerentanan yang secara otomatis menemukan beban kerja, seperti instans Amazon Elastic Compute Cloud (Amazon EC2), citra kontainer, dan fungsi AWS Lambda, serta repositori kode, lalu memindainya untuk melihat jika terdapat kerentanan perangkat lunak dan paparan jaringan yang tidak diinginkan.

AWS Identity and Access Management (IAM) adalah solusi IAM lengkap untuk manajemen identitas yang aman serta akses ke layanan dan sumber daya AWS. AWS IAM memungkinkan Anda mengatur batasan pengaman izin dan akses yang terperinci, menggunakan kredensial keamanan sementara, serta menganalisis kebijakan IAM seiring Anda beralih ke hak akses paling rendah.

AWS Security Hub melakukan pemeriksaan praktik terbaik keamanan serta menyerap temuan keamanan dari partner dan layanan keamanan AWS. Layanan ini menggabungkan hasil tersebut dengan temuan dari layanan lain dan alat keamanan partner, yang menawarkan pemeriksaan otomatis terhadap sumber daya AWS Anda untuk membantu mengidentifikasi kesalahan konfigurasi serta mengevaluasi postur keamanan cloud Anda.

Mulai terapkan arsitektur keamanan Anda di AWS dengan membuat akun gratis sekarang.