You are on page 1of 17

Perancangan Security Technology Architecture

PT. “N” Menggunakan Kerangka Kerja


Enterprise Security Architecture

Sriwisnu Noloadi
Program Studi Magister Sistem Informasi
Fakultas Pascasarjana
Universitas Komputer Indonesia

ABSTRAK
Arsitektur teknologi keamanan pada sebuah enterprise merupakan bagian dari dukungan sistem bisnis
perusahaan yang sangat diperlukan, adanya kemungkinan fraud, gangguan sistem termasuk ancaman virus
dan spam merupakan alasan diperlukannya teknologi keamanan yang handal bagi perusahaan, berdasarkan
kondisi perusahaan saat ini teknologi keamanan yang memadai sangat mendesak diperlukan oleh PT “N”
dengan tujuan pengoperasian sistem teknologi informasi yang mendukung proses bisnis perusahaan dalam
kaitannya dengan ketersediaan data dan informasi yang aman. Kerangka kerja ESA (Enterprise System
Architecture) dari NAC (Network Applications Consortium) digunakan untuk penyusunan dan perancangan
Security Technology Architecture melalui 4 (empat) tahapan penting yaitu: menyusun kerangka kerja
konseptual, arsitektur konseptual, arsitektur logis dan arsitektur fisik. Layanan penerapan Security
Technology Architecture mencakup kontrol akses, proteksi batasan fisik, deteksi, kontrol isi informasi,
auditing dan kriptografi. Hasil akhir menunjukkan bahwa yang paling cocok dari penyusunan dan penerapan
Security Technology Architecture bagi perusahaan adalah dengan mengusulkan model keamanan yang yang
mencakup bisnis, sistem informasi, dan arsitektur teknologi dengan mengandalkan dasar-dasar teknis yang
direkomendasikan dan bisa diterapkan di telekomunikasi dan perusahaan pada umumnya.

Kata kunci: Security Technology Architecture, ESA, NAC, TOGAF, NIST

telekomunikasi yang tinggi dalam meningkatkan


1. Latar Belakang jumlah pelanggan menuntut perusahaan untuk
Trend teknologi informasi yang menyediakan layanan yang memuaskan, untuk
berkembang sangat pesat berpengaruh terhadap mencapai tujuan ini perusahaan harus bisa menjaga
strategi dan kebijakan perusahaan yang sistem dengan baik agar tidak terjadi fraud,
berorientasi untuk mencari keuntungan seperti kesalahan atau gangguan terhadap sistem yang
halnya perusahaan yang bergerak dibidang sedang berjalan dan dapat mempengaruhi
telekomunikasi. PT. “N” Telepon Selular adalah aktifitas bisnis perusahaan, sehingga kebutuhan
salah satu perusahaan operator telekomunikasi akan sistem keamanan yang handal dan terintegrasi
yang bergerak dibidang pelayanan voice, SMS dan sangat dibutuhkan oleh perusahaan.
data internet yang dalam mengembangkan Salah satu penemuan masalah keamanan
bisnisnya, perusahaan ini terus mengikuti trend berupa fact finding yang bisa menimbulkan
teknologi informasi demi memenuhi kepuasan ancaman keamanan adalah begitu mudahnya
pelanggan yang berjumlah lebih dari 15 juta siapapun (anonymous user) mendapatkan akses
pelanggan. Tingkat kompetisi bisnis kedalam sistem jaringan perusahaan seperti

57
mudahnya mendapat alamat internet protokol bisa mencapai suatu tujuan terkait dengan
melalui akses wireless sehingga jika penyusup teknologi keamanan yang diharapkan seperti:
mengetahu target IP yang diakses akan sangat • Perusahaan akan memperoleh solusi teknologi
mudah mendapatkan login prompt, hal ini sangat keamanan yang tepat dan memadai untuk
rentan akan proses eksploitasi yang dilakukan oleh mengatasi timbulnya fraud, kesalahan dan
orang yang mencoba akses illegal melalui jalur ini. gangguan sistem dengan cara memberikan
Dari permasalahan diatas maka perlu gambaran yang jelas tentang arsitektur
disusun suatu rumusan permasalahan yang sedang teknologi keamanan dan kaitannya dengan
dihadapi oleh perusahaan terkait teknologi fasilitas infrastruktur yang dimiliki
keamanan, yaitu: perusahaan.

• Akses kedalam sistem jaringan perusahaan • Perusahaan bisa mengetahui dan menganalisa
masih sangat rentan seperti mudahnya profil risiko keamanan yang dimiliki dan
mendapat alamat internet protokol baik melalui diterapkan kedala
wireless connection maupun melalui physical • Perusahaan memiliki ipengukuran risiko dan
connection sehingga sistem rentan dampak risiko keamanan yang bisa
mendapatkan kesalahan (fraud) dan gangguan menimbulkan dampak bisnis perusahaan.
keamanan bagi perusahaan terbukti dengan • Perusahaan mampu menyusun dan merancang
mudahnya mendapatkan shell prompt kedalam Security Technology Architecture yang tepat
sistem yang kritikal seperti sistem biling dan dan memadai guna memitigasi risiko dan
lain sebagainya. mengatasi ancaman-ancaman bagi keamanan
• Dari permasalahan pertama diatas masalah IT perusahaan sehingga berguna bagi
berikutnya yang timbul adalah bagaimana perusahaan dimasa mendatang
sebenarnya profil risiko keamanan teknologi
2. Enterprise Security Architecture
informasi di perusahaan yang bisa
mengakibatkan perusahaan mendapatkan Kerangka kerja Enterprise Security
potensi dampak dari risiko keamanan. Architecture (ESA) dari NAC harus dipahami
• Bagaimana perusahaan menyusun Security dalam konteks perusahaan besar, dimana hal ini
Technology Architecture agar perusahaan adalah bagian dari program keamanan perusahaan
mempunyai solusi yang tepat untuk secara keseluruhan, seperti ditunjukan dalam
meningkatkan keamanan yang memadai. gambar 2.2 yang menggambarkan hubungan
didalam kerangka kerja ESA terhadap manajemen
Dengan mendalami permasalahan diatas,
risiko perusahaan, tata kelola teknologi informasi,
dan mencari solusi yang tepat maka perusahaan
arsitektur enterprise dan keamanan fisik.

Gambar 2.1 Konteks Enterprise Security

58
Kerangka yang lebih lengkap dalam kepada pelanggan dan mendapat kentungan dari
konteks Enterprise Security suatu perusahaan peluang bisnis yang baru, selanjutnya kebutuhan
menjelaskan bagian-bagian penting yang lebih dari luar adalah termasuk ancaman keamanan,
dalam tentang program Enterprise Security. legasi serta regulatory compliance dari pemerintah.
Kerangka kerja ini dimulai dari security driver Gambar berikut ini menunjukan skema
pada bagian atas yang menunjukan sumber-sumber yang lengkap suatu kerangka kerja program
utama persyaratan keamanan bagi kebutuhan enterprise security, didalamnya ada bagian tentang
keamanan perusahaan yang perlu diidentifikasi Security Technology Architecture yang terdiri dari
satu per satu, sumber inti dari kebutuhan area komponen-komponen conceptual framework,
bisnis yaitu mempunyai tingkat layanan (service- conceptual architecture, logical architecture dan
level) yang sesuai dengan layanan yang diberikan physical architecture.

Gambar 2.2 Enterprise Security Programme

Terkait dengan Technology Architecture yaitu  Design/development: panduan atau template


menyangkut hal-hal sebagai berikut: yang dapat digunakan kembali, dalam
 Conceptual framework: kerangka kerja pemanfaatan yang efektif dan integrasi aplikasi
konseptual berbasis manajemen pelayanan ke lingkungan ESA.
keamanan.
2.1 Policy Driven Security Conceptual
 Conceptual architecture: struktur konseptual
untuk manajemen pengambilan keputusan dan Framework
penegakan kebijakan layanan keamanan. Kerangka kerja konseptual dalam jurnal
 Logical architecture: menyediakan struktur “Enterprise Security Architecture [1]” adalah
secara terperinci pada komponen logis untuk sebagai salah satu tahapan dalam menyusun
layanan keamanan. Security Technology Architecture merupakan
 Physical architecture: Arsitektur fisikyang arsitektur layanan keamanan (security services)
memberikan fungsi yang diperlukan dan yang menjelaskan tentang keamanan berbasis
memberikan kinerja yang baik, dan handal. kebijakan (Policy Driven Security), dimana cara
kerja kerangka tersebut adalah dengan menyatakan
59
suatu representasi kebijakan yang disimpan di menerapkan policy didalam sistem computer,
dalam repository untuk proses runtime yang gambar 2.3 dibawah ini menggambarkan tentang
bertujuan menjalankan kebijakan yang diterapkan, komponen utama dari dari model kerangka kerja
skema kerangka kerja konseptual menjelaskan konseptual keamanan berbasis kebijakan.
tentang langkah-langkah secara konseptual dalam

Gambar 2.3 framework konseptual keamanan berbasis kebijakan

Penjelasan mengenai skema kerangka kerja  Security Services, merupakan layanan


konseptual diatas adalah sebagai berikut: keamanan terhadap resources atau aset-aset
 Policy Management Authority (PMA) adalah perangkat keras dan perangkat lunak di IT.
entitas aplikasi yang membentuk atau  Resources adalah aset IT sebagai target akses.
menciptakan representasi kebijakan elektronik
melalui konsol kebijakan dinyatakan dengan 2.2 Arsitektur Konseptual Keamanan
eXtensible Markup Language (XML) berupa Berbasis Kebijakan
entri direktori, file konfigurasi..
Arsitektur konseptual dimulai dengan
 Policy Decision Point (PDP), PDP bertugas
melakukan dekomposisi kebijakan pengelolaan dan
membuat keputusan kebijakan runtime atas
layanan keamanan komponen dari kerangka
permintaan Policy Enforcement Point (PEP).
konseptual untuk suatu layanan tertentu,
 Policy Repository, repositori merupakan
representasinya dibagi dalam tiga bagian yaitu
direktori berisi sarana layanan kebijakan.
Policy Management, Policy Engine dan Security
 Policy Enforcement Point (PEP), PEP
Services seperti yang terlihat secara lengkap dalam
memberlakukan kebijakan saat runtime,
gambar 2.4 sebagai berikut:
berdasarkan keputusan kebijakan dari PDP.
Fungsi PEP terintegrasi dengan layanan
keamanan.

60
Gambar 2.4 Arsitektur konseptual keamanan berbasis kebijakan

Arsitektur konseptual diatas terdiri dari 3 bagian layanan ini terdiri dari Access Control Services,
yaitu Policy Management, Policy Engine dan Border Protection Services, Detection Services,
Security Services, bagian Policy Management Content Control Services, Auditing Services, dan
terdiri atas Identity Management, Access Cryptographic Services. Untuk menjelaskan
Management dan Configuration Management. PDP/PEP secara detil dalam arsitektur konseptual
Porsi Policy Engine merupakan suatu Policy diuraikan dalam gambar berikut ini:
Decision Point, untuk porsi Security Services,

Gambar 2.5 Model PDP/PEP dalam arsitektur konseptual


 Target: aplikasi, layanan, atau sumber daya
Dari gambar PDP/PEP di atas mendefinisikan hal- lain yang aksesnya didasarkan pada permintaan
hal sebagai berikut: yang diarahkan oleh inisiator. Target bisa
merupakan repositori kebijakan yang
 Inisiator: pengguna, aplikasi, atau layanan
diperbaharui oleh layanan pengaturan
yang memulai permintaan beberapa target dari
kebijakan, atau mungkin menjadi sumber daya
sumber daya. Inisiator mungkin berupa
yang dioperasikan oleh salah satu layanan
kebijakan manajemen administrator, aplikasi,
keamanan secara runtime.
layanan, pengguna akhir atau yang
menggunakan aplikasi.

61
 PEP: berfungsi sebagai penjaga yang konteks transaksi. Jalur akses mungkin
menjalankan keputusan kebijakan terhadap menunjukkan keamanan saluran akses atau
target sumber daya. lokasi pengguna saat ini, misalnya sistem yang
 PDP: merupakan mesin yang mengevaluasi terhubung ke jaringan perusahaan dan internet.
permintaan terhadap suatu kebijakan atau Lingkungan ini harus mudah diakses oleh PDP
aturan data dan membuat suatu keputusan untuk membuat suatu keputusan yang
tentang kebijakan. diperlukan secepatnya.

Operasi dasar terkait arsitektur konseptual  Policy atau Rules: Kebijakan atau aturan
adalah bahwa inisiator mengajukan suatu ditujukan untuk membuat keputusan kebijakan
permintaan terhadap target, permintaan ini akan tentang permintaan sumber daya tertentu,
menentukan operasi yang akan dilakukan pada kebijakan atau aturan ini ditampilkan sebagai
target, dan mungkin berisi data yang relevan atau suatu repositori kebijakan yang mungkin
instruksi yang lebih rinci. Permintaan yang menjadi layanan direktori. Kombinasi suatu
dihadapi oleh PEP, dikemas ke dalam keputusan sumber direktori data yang diakses sebagai
berisi permintaan, dan diteruskan ke dalam PDP sebuah direktori virtual, meta directory, atau
dengan tujuan menentukan apakah permintaan merupakan repositori suatu kebijakan khusus.
tertentu harus diberikan atau ditolak. Untuk
3. Perencanaan Security
membuat keputusan kebijakan, PDP memerlukan
Technology Architecture PT “N”
informasi-informasi sebagai berikut:
 Data inisiator disimpan di direktori LDAP, 3.1 Proses Business Perusahaan
yang dibuat dan dikelola oleh layanan Dari proses observasi di lapangan,
manajemen identitas. perusahaan mempunyai 20 (dua puluh) proses
 Target data adalah data tentang sumber daya bisnis utama pendukung sistem bisnis perusahaan
target dan biasanya berhubungan dengan yang merupakan bisnis proses yang sedang
sensitivitas informasi atau klasifikasi suatu berjalan saat ini.
konten. Tabel 3.1 Daftar bisnis proses utama, fungsi bisnis
 Environment data: mencakup tentang waktu, proses perusahaan serta aplikasi terkait
jalur akses, konteks pengguna sesi, atau
Aplikasi Aplikasi
No Nama Bisnis Proses Fungsi Bisnis Proses BSS Non BSS
1 Starter Pack Production Proses untuk menghasilkan kartu perdana SAP, Carmen, CRM, NE (Network
Process SIM Provisioning Element)
2 Voucher Production Proses untuk menghasilkan nomor SAP, Carmen Voucher
Process voucher dan nilai pulsanya untuk SIM Management
card
3 Sales Starter Pack Proses memasarkan kartu perdana kepada CRM, SAP, Carmen -
Process customer dalam meningkatkan jumlah
pelanggan
4 Sales Voucher Process Proses untuk memasarkan voucher fisik CRM, SAP, Carmen -
pulsa isi ulang SIM card customer
5 Sales Electronic Recharge Proses untuk memasarkan isi ulang pulsa SAP Utiba, 3rd Party
Process secara elektronis Gateway
6 Retail Prepaid Activation Proses aktivasi dan deaktivasi kartu Message Middleware, Prepaid
and Deactivation Process prabayar ODS, Carmen, Registration
Provisioning, CRM System, OCS
7 Postpaid Activation and Proses aktivasi dan deaktivasi pelanggan CCBS, EAI, Carmen, OCS
Deactivation Process pasca bayar CRM, Provisioning,
Message Middleware

62
8 Subscriber Trouble Proses untuk menangani masalah CRM Email Server
Ticketing komunikasi handphone pelanggan
9 Order Handling Process Proses untuk menangani pemesanan kartu CRM, EAI, Carmen, OCS
SIM Provisioning, SAP
10 Sales Starter Pack (Shop) Proses pemasaran kartu perdana SIM Carmen, SAP, CRM
Process card kepada distributor
11 Sales Voucher (Shop) Proses pemasaran voucher fisik pulsa isi Carmen, SAP, CRM
Process ulang kepada distributor
12 Sales Electronic Voucher Proses pemasaran voucher elektronis CRM, SAP
(Shop) pulsa isi ulang
13 Sales Bundling Package Proses pemasaran paket bundle Carmen, SAP, CRM
Process
14 Billing Process Proses untuk customer care dan billing CCBS, Message OCS, Email
system Middleware, SAP Server
15 Payment Process Proses pembayaran tagihan pelanggan CCBS, Provisioning, Payment
Message Middleware, Channel, OCS
SAP
16 Collection Process Proses collection data percakapan, sms CCBS, Provisioning, SAP OCS
dan internet
17 Revenue Accounting Proses penghitungan pendapatan CRM, CCBS, MSC, OCS,
perusahaan Interconnect, ODS, SAP, Utiba, 3rd Party
PRM Gateway
18 Interconnect Settlement Proses perhitungan pemakaian pulsa Mediation, Interconnect SOKI Server
untuk interconnect antar operator
19 International Roaming Proses perhitungan pemakaian roaming Mediation, PRM, SAP Mach, OCS
Settlement internasional
20 Loyalty Management Proses untuk loyalty dan hadiah untuk ODS, Interconnect, Other Data
customer Message Middleware, Source
OCS, CRM
aplikasi dilakukan melalui interface-interface
secara otomatis atapun manual (batch), ada
beberapa aplikasi yang penting namun tidak terkait
3.2 Arsitektur Aplikasi saat ini dengan bisnis proses utama perusahaan, yaitu
Arsitektur aplikasi sebagai pendukung seperti aplikasi-aplikasi CLM&LD, ECM dan
sistem bisnis perusahaan merupakan aplikasi- EDW. Aplikasi-aplikasi tersebut tidak hanya
aplikasi yang terintegrasi, hasil observasi di melayani pengguna dari dalam seperti karyawan
lapangan yang dilakukan secara mendalam pada perusahaan dan aplikasinya, tapi juga melayani
area yang berhubungan dengan proses bisnis utama transaksi informasi dengan pengguna luar dan
terdiri dari beberapa macam aplikasi IT-BSS network element (NE). NE berada di sisi perangkat
pendukung sistem bisnis perusahaan, yaitu: EAI, jaringan telekomunikasi, bahkan utamanya
SAP, CRM, CCBS, ODS, Mediation, Carmen, aplikasi-aplikasi tersebut digunakan untuk
CLM&LD, Provisioning, EDW, Interconnect, melayani pemrosesan data yang datang dari NE.
ECM, IR Settlement dan Message Middleware.
Diagram arsitektur aplikasi akan
Untuk membuktikan bahwa aplikasi-aplikasi
menggambarkan teknologi aplikasi yang sedang
tersebut merupakan pendukung sistem bisnis
berjalan saat ini, terlihat betapa kompleknya
perusahaan melalui proses bisnis yang telah
keterhubungan antar aplikasi yang terpasang,
dijabarkan. Aplikasi ini terintegrasi dan saling
sebenarnya aplikasi ini tersebar dalam satu area
berkomunikasi satu sama lain baik melalui aplikasi
datacenter (distributed system) namun tetap
EAI ataupun secara langsung dari satu aplikasi ke
terhubung satu sama lain, terjadinya gangguan
aplikasi yang lain.. EAI merupakan aplikasi
pada salah satu sistem aplikasi tentunya bisa
enterprise yang bertugas melakukan proses request
menggangu kinerja aplikasi-aplikasi yang lain.
dan response untuk menghubungkan aplikasi-
Kompleksifitas aplikasi-aplikasi ini menjadi
aplikasi yang saling terkait, keterhubungan antar
tantangan yang menarik untuk menganalisa
63
arsitektur jaringan yang digunakan oleh aplikasi- yang memadai dan sesuai untuk perusahaan.
aplikasi tersebut dan menyusun arsitektur teknologi Gambar berikut ini menjelaskan arsitektur aplikasi
dengan cara reverse engineering dilanjutkan perusahaan saat ini.
dengan merancang arsitektur teknologi keamanan

Gambar 3.1 Arsitektur Aplikasi


Selain itu hal yang sangat penting adalah bahwa
hampir semua perangkat-perangkat server tidak
3.3 Arsitektur Teknologi Informasi memiliki perangkat software keamanan seperti anti
virus, anti spam dan lain sebagainya, artinya
Perusahaan
banyak server-server tidak diinstall anti virus, anti
Perangkat teknologi informasi perusahaan
spam atau perangkat lunak keamanan yang
berupa server menggunakan berbagai macam
memadai baik itu pada server berbasis platform
platform teknologi sistem operasi, seperti sistem
windows maupun yang berbasis platform unix dan
operasinya menggunakan Windows Server, HP-
linux. Untuk menjelaskan informasi tentang asset
UX, Redhat dan lain sebagainya, dari sisi teknologi
aplikasi dan hardware yang digunakan, tabel
database menggunakan berbagai macam sistem
berikut ini merupakan data-data perangkat server di
manajemen basis data seperti Oracle, DB2,
IT yang merupakan hasil analisa dan diolah
MySQL, SQL Server dan lain sebagainya, selain
menjadi satu tabel rangkuman yang
itu penggunaan teknologi modern agar server
merepresentasikan platform teknologi yang
beroperasi secara realtime, beberapa server telah
digunakan oleh aplikasi
mengadopsi teknologi clustering (high availability
Gambar berikut ini merupakan diagram
and mirroring), teknologi ini berguna untuk
overall arsitektur teknologi yang terdiri dari 14
menghindari berhentinya operasi server karena
aplikasi-aplikasi di BSS dan 1 aplikasi Exchange di
terjadinya server crash yang bisa mengakibatkan
pengguna dan aplikasi tidak bisa mengakses server.
64
area ENT, yang mempunyai firewall masing- masing termasuk untuk area ENMS dan SPN.
Arsitektur Teknologi

IP Network Management

Oracle IBM Ecom


AG SAP Comptel
IP FE Intern.
IP Appl. IP Appl.
IP Appl. IP FE Intern. IP Bill Conn IP FE Intern.
IP Backend IP Backend
IP Staging IP Staging IP Staging IP Backend
IP Staging IP Staging
EAI ERP Siebel ODS Mediation Carmen

IBM
BLS INTEC Mach 247
IP FE Intern.
IP FE Intern. Huawei
IP Appl. IP Bill Conn
IP Appl. IP FE Intern. IP Backend IP FE Intern.
IP Backend IP Staging IP Billing
IP Backend IP Staging Message IP Backend

CLM & LD EDW Interconnect IR, FTP Svr Middleware Intranet


PostPaid Bill.

HUAWEI FW

BSS Backend
BSS Application BSS Billing
FE Internal BSS Dev Staging

IP Network Management IP Network Management

Enterprise Oracle Microsoft Blue Coat HP Comptel


Internet
IP Enterprise
IP ENMS IP Provisi.
Dual Ether Channel
SER
BSS‐vFW ECM Exchange Reporter Svr Openview Provisioning
Symantec Microsoft Cat 4507 Cat 4507

IP Enterprise Dual Ether Channel


IP Rev. Prox
BSS Application BSS Backend Cat 3750 Cat 4507 Cat 4507
Reverse Proxy Antivirus LDAP Network Network
BSS OV BSS Billing ENM_int
DCG BE
Network Network ENMS‐FW SPN‐FW GE2.31
GE1/2.20 GE1 Eth 1.99
FE Internal GE2/1.30 BSS Dev & Staging PIX‐535 PIX‐535
GE4/2.99

Eth 0.100
Dual Ether Channel BSS FW

Eth 1.3
Eth 2
Eth 0
Network

Eth 1.90
GE2/1.40

GE3
Network

GE0
Ent‐FE
Cat 4507 Cat 4507 GE1/2.11 NS‐2000
GE4/2.90

SPN Core transit


GE3/1

GE2/2
GE1/1.10

ENMS Core transit Core


GE1/1.5 BSS Core Transit Huawei
Ent‐BE GE2 Tansit
GE1
ENT‐FW Network
GE3.5 PIX‐535
SPN‐Int
L‐3
Core Network
GE3.90
GE3.99

GE0.4

Internet
Enterprise Transit
OV Transit IP SPN Intern.
FE Internal SPN Internal
VPN‐Int
SER
BSS‐vFW Siebel Web
IP Reverse Prox
(VIP)
IP Reverse Prox
Reverse Proxy
Reverse Proxy
BSS Bank/Partner
Internet

Legend: BSS FE Internal Servers Farm Router


BSS Application
BSS Backend
Arsitektur Teknologi
BSS, Billing Firewall VPN
BSS Staging, Dev &Test,

Openview Line
Author Date Revised
Core Switch Core Transit
Other Network Sriwisnu Noloadi Ver. 1.0, 1 July 2012

Gambar 3.2 Arsitektur Teknologi


jawab untuk menetapkan dan mempertahankan
identitas digital dan atribut terkait di lingkungan,
3.4 Perancangan Arsitektur Logis termasuk proses menghapus dan mengatur identitas
Manajemen Identitas yang tidak valid dengan tujuan akuntabilitas.
Arsitektur logis manajemen identitas (IdM Template layanan proses manajemen identitas
logical architecture) harus menggambarkan dapat diuraikan sebagai berikut:
layanan bagi pengaturan identitas secara logis,  Layanan administrasi user dan identitas
arsitektur ini harus menggambarkan layanan untuk ‐ Layanan administrasi identitas
melakukan proses administrasi identitas dari sisi ‐ Layanan akses provisioning (access rules
internal dan eksternal, dan hubunganya dengan and policies, account and privilege
directory services serta layanan akses provisioning management)
untuk mencapai suatu target berupa aset sumber  Layanan direktori
daya IT yang dimiliki perusahaan. Gambaran ‐ Layanan direktori umum (General purpose
mengenai arsitektur logis tentang manajemen directory services)
identitas dibahas lebih banyak pada proses ‐ Layanan direktori khusus (Special purpose
perancangan pada bab IV dan hasilnya harus directory services)
disesuaikan dengan kondisi perusahaan dimana ‐ Layanan direktori ekstranet (Extranet
aset sumberdaya IT yang menjadi target eksekusi directory services)
dipisahkan berdasarkan area-area security. ‐
Meta directory dan virtual directory
Secara lengkap layanan ini memberikan services
rincian tambahan berupa layanan IdM tertentu Untuk menggambarkan arsitektur logis
yang mungkin diperlukan, layanan ini bertanggung suatu identity management dapat digambarkan
dalam gambar berikut ini.
65
Gambar 3.3 Arsitektur logis Identity Management

3.6 Arsitektur Konseptual Border


3.5 Perancangan Arsitektur Fisik Protection
Manajemen Identitas
Border protection services bertanggung
Arsitektur fisik manajemen identitas (IdM jawab untuk mengendalikan lalu lintas informasi
physical architecture) menggambarkan arsitektur yang melintasi batas batas eksternal atau internal
yang akan diimplementasi secara fisik. antara zona keamanan, berdasarkan lokasi dari
Implementasi fisik suatu server, perangkat lunak, sumber lalu lintas dan tujuan atau pada isi lalu
koneksi \jaringan, dan lain sebagainya dari lintas secara fisik. Dalam model kebijakan ESA,
lingkungan IdM yang dijabarkan dari arsitektur banyak konfigurasi perangkat (termasuk pengguna
logis digambarkan secara kompleks. Untuk akhir klien) menyediakan layanan perlindungan
menggambarkan lingkungan seperti itu yang dikendalikan melalui kebijakan terpusat
membutuhkan beberapa dokumen perusahaan dengan definisi konfigurasi terhadap sumber daya
terkait enterprise arsitektur, yaitu: (resources).
 Berbagai diagram seperti diagram
Gambar berikut ini menujukan arsitektur
komponen perangkat lunak pada server
konseptual border protection services, dimana
dan diagram topologi jaringan.
setiap user baik itu customer, partner, suppl\ier,
 Daftar alamat berbagai jaringan berupa
vendor ataupun karyawan yang melakukan proses
alamat dari Domain Controller dalam
remote login melalui jaringan internet dengan
suatu lingkungan manajemen identitas.
model vpn akan melalui beberapa pembatas berupa
 Dokumentasi pengaturan konfigurasi untuk
firewall bagian luar dan firewall bagian dalam.
komponen perangkat lunak dan perangkat
keras teknologi informasi.

66
Gambar 3.4 Arsitektur konseptual border protection services
 Area demilitarized zone (DMZ) adalah
segmen jaringan yang member fungsi terbatas
3.7 Arsitektur Logis Border untuk konektifitas antara router gateway dan
firewall luar
protection
 Firewall arah keluar harus mempunyai kinerja
Dalam menyusun dan merancang Security yang memamdai, yaitu:
Technology Architecture salah satunya adalah ‐ Sebagai lapisan tambahan paket
adalah menetapkan border protection yang filtering IP/TCP/UDP.
mengedepankan arsitektur komunikasi yang ‐ Melakukan paket pemeriksaan dan
lengkap berdasarkan high level, diagram topologi pengecekan validitas protokol.
network saat ini, posisi router, switching dan ‐ Mendeteksi dan mencegah kesalahan
firewall termasuk vpn devices, termasuk resources penolakan layanan atau denial of
server farm di perusahaan. Setelah melakukan service.
proses reverse engineering terhadap high level ‐ Menjamin alamat IP routing
arsitektur jaringan teknologi informasi, core transit digunakan untuk mengurangi
connectivity, firewall security zoning dan kebocoran ruang alamat internet
menganalisa hasil kajian teknologi yang digunakan protokol.
saat ini termasuk diagram server-server farm, maka  Segmen hosting DMZ adalah segmen jaringan
hasil dari proses ini dapat disusun suatu arsitektur antara firewall luar dan dalam yang mungkin
logis border protection untuk perancangan Security berisi host / server berdasarkan kebutuhan
Technology Architecture secara lengkap. yang diakses dari sisi luar dan sisi dalam.
Berikut ini menjelaskan unsur-unsur utama dari
Gambar berikut ini merepresentasikan
arsitektur logis border protection services:
arsitektur logis border protection services yang
 Perangkat router mengelola internet routing
disesuaikan dengan kondisi di perusahaan, sangat
dan menyediakan sarana penyaringan packet
jelas terlihat area external yang merupakan area
filtering berbasis IP/TCP/UDP protokol.
tempat user melakukan login akses, area DMZ
yang merupakan area konektifitas antara external
67
dan internal serta area internal yang merupakan lingkungan resources server farms ditempatkan.

Gambar 3.5 Arsitektur logis border protection services

3.8 Rancangan Arsitektur Fisik jaringan yang menghubungan perangkat-perangkat


di kota Bandung ke dalam lingkungan data center
Terkait Infrastruktur Perusahaan
perusahaan melalui perangkat-perangkat
Diagram arsitektur secara fisik yang komunikasi sebagai berikut: dari sisi Bandung
lengkap harus menggambarkan zoning keamanan User terhubung ke perangkat router BDG01-POP-
IT dan semua perangkat jaringan diluar lingkungan R1/BDG01-POP-R2, perangkat ini terhubung
dan didalam IT yang saling berhubungan yang dengan router di Jakarta melalui jaringan POP
merepresentasikan rancangan yang baku yang kedalam perangkat router CIG01-CORE-
disesuaikan dengan arsitektur jaringan teknologi BDR1/CIG01-CORE-BDRF2 dan dirouting
informasi di perusahaan, melalui proses yang melalui router CIG01-POP-R1/CIG01-POP-R2
cukup panjang akhirnya bisa diidentifikasi semua untuk akses masuk kedalam network internal di
perangkat jaringan dan keamanan diperusahaan data center.
berdasarkan nama host pada semua perangkat yang Diluar jaringan POP antar kota ada
terhubung, nama host-nama host tersebut berhasil jaringan fiber optik yang menghubungkan antara
diidentifikasi berdasarkan referensi yang diambil menara DEA (area user) dan data center,
dari data inventaris perangkat router, switch, koneksinya dihubungkan dengan core network
firewall dan lain sebagainya, sebagai contoh Huawei fiber optic, selain itu diagram jaringan ini

68
juga menggambarkan sisi external jaringan yaitu Diagram arsitektur yang lengkap tentang
yang terhubung dengan koneksi internet termasuk Security Technology Architecture terkait
virtual private network (VPN) untuk fasilitas infrastruktur perusahaan dirancang sesuai termasuk
remote access yang disediakan bagi karyawan dan overall arsitektur jaringan perusahaan, termasuk
pihak ketiga seperti afilasi vendor dan lain firewall sesuai dengan konfigurasi pada border
sebagainya. protection untuk teknologi keamanan yang
Dalam kaitannya dengan Security diinginkan berdasarkan konsep Security
Technology Architecture, IdM dan policy driven Technology Arcitecture yang menerapkan IdM dan
diterapkan pada arsitektur tersebut yang bertujuan PD. Sesuai dengan pemahaman tentang teknologi
sebagai pengatur semua kebijakan dan enforcement arsitektur maka secara efesien perangkat server
terhadap resources-resources melalui services yang bisa memasang agent-agent yang bisa mengijinkan
disediakan, setiap perangkat jaringan keamanan proses policy enforcement terhadap resources, jadi
akan memiliki format kebijakan yang ditempatkan, secara fisik dan efisien perusahaan hanya cukup
mungkin dalam bentuk XML yang diinjeksi menambahkan server-server IdM dan Policy
kedalam sistem konfigurasi perangkat keamanan, Engine di area ENT untuk menerapkan Security
lalu dibutuhkan agent-agent yang bisa saja Technology yang diharapkan.
dipasang pada perangkat teknologi seperti server, Gambar berikut ini merupakan rancangan
storage system, perangkat router dan switch Security Technology Architekture terkait
sehingga melengkapi konsep penerapan dari infrastruktur perusahaan, rancangan ini
Security Technology Architecture, agent inilah menjelaskan server IdM dan Policy Engine server
yang akan mengecek apakah permintaan yang yang bisa diimplementasi diperusahaan untuk
dikirim oleh pengguna user dan aplikasi sesuai menjalankan Security Technology, semua layanan
dengan kebijakan yang diterapkan, mulai dari PMA (Policy Management Access) dan Security
kecocokan identitas pengguna dan aturan (role) Services termuat didalam layanan server-server
yang ditetapkan oleh PDP engine. tersebut.

Gambar 3.6 Diagram fisik Security Technology Architecture pada jaringan perusahaan
69
Untuk melengkapi penelitian ini, akan kapabilitas tersebut nantinya harus bisa diuji
diuraikan kapabilitas Policy Management dengan melibatkan kontrol yang terkait dengan
Access (PMA) dan security services dalami layanan tersebut, untuk itu perlu disusun dan
Security Technology Architecture yang diuraikan deskripsi kemampuan apa saja yang
dirancang, berdasarkan literatur yang dipelajari bisa dilakukan oleh PMA yang melakukan
dan dianalisa terhadap kondisi perusahaan saat fungsi provisioning dan security services yang
ini, tabel berikut ini akan merepresentasikan melakukan layanan keamanan sesuai dengan
dan menjelaskan kapabilitas yang dimiliki penerapan Security Technology Architecture
perusahaan setelah menerapkan Security yang dirancang.
Technology Architecture, kapabilitas-
Tabel 3.2 Kapabilitas layanan provisioning secara fungsional
Policy
Management
Category Services Capabilities Control Category Control
& Security
Services
Identity Pengaturan identitas Identification, Security Supporting Technical
Management Administration Control
Provisioning Access Management Pengaturan akses Access Control Supporting Technical
Services Control
Functionality
Configuration Mgm Pengaturan konfigurasi sistem Audit, Restore Secure Detection & Recovery
Services State Control

70
Tabel 3.3 Kapabilitas layanan security secara fungsional
Policy
Management
Category Services Capabilities Control Category Control
& Security
Services
Access Control Services
Authentication Memverifikasi account Authentication Control Preventive Control
(Direct & Indirect) Mengotentikasi password, token
Authorization Memberikan otorisasi akses kepada Authorization Control Preventive Control
(Online & Offline) pengguna sah
Border Protection Layanan pembatasan akses secara Protected Preventive Control
Services fisik Communication
Detection Services
Intrusion Mendeteksi gangguan Intrusion and Detection & Recovery
Mengendalikan gangguan Containtment Technical Control
Anomaly Mengidentifikasi penyimpangan Anomaly Control Detection & Recovery
Technical Control
Vulnerability Menilai kerentaan keamanan Assessment Control Detection & Recovery
assessment Technical Control
Logging Services Mencatat & mengumpulkan log Log Control Detection & Recovery
Mengkonsolidasi log Technical Control

Content Control Services

Security Anti-Virus Mendeteksi virus Virus Detection and Detection & Recovery
Menberantas virus Eradication Technical Control
Services
Anti-Spam Mendeteksi spam Spam Detection and Detection & Recovery
Menyaring spam Filtering Technical Control
Ent. Right Mgm Melindungi dokumen digital Protection Control Management Security
Services Control
Content Inspection Menginspeksi isi informasi digital Content Control Preventive Control
Auditing Services Memastikan integritas Audit Control Detection & Recovery
Menyelidiki insident Technical Control
Memastikan kesuaian kebijakan
Memantau pengguna dan aktivitas
Cryptographic Services
Cryptography Melakukan enkripsi Cryptography Key Supporting Technical
Services Melakukan dekripsi Management Control
Public Key Melakukan sertifikasi otorisasi Public Key Supporting Technical
Infrastructure proses Management Control
Private Key Storage Menyimpan private key Private Key Supporting Technical
Menjaga kerahasian informasi Management Control
Digital Signature Signing Service Digital Signature Supporting Technical
Services Notary Services Management Control
Code Signing Services
Verification Services

teknologi keamanan yang memadai


untuk perusahaan
4. Kesimpulan dan Saran
2. Walaupun dirasa sangat penting karena
Dari hasil penelitian tentang Security tingkat kesulitan yang tinggi akan
Technology Architecture, dapat ditarik pengetahuan tentang keamanan, PT
kesimpulan-kesimpulan sebagai berikut: “N” belum menerapkan teknologi
1. Penelitian Security Tehcnology keamanan berbasis kebijakan.
Architecture bagi PT “N” merupakan 3. Menyusun dan merancang Security
studi tentang penyusunan arsitektur Technology Architecture untuk PT “N”

71
menggunakan framework Enterprise gap analysis sebagai acuan pentingnya
Security Architecture (ESA) dari rancangan teknologi keamanan ini
Network Applications Consortium 3. Sebaiknya PT “N” segara menerapkan
(NAC) yang sekarang telah bergabung Security Technology Architecture
dengan Open Group.. untuk memitigasi risiko teknologi
4. Dalam meningkatkan kualitas informasi perusahaan.
perancangan teknologi keamanan yang
5. Daftar Pustaka
memadai di PT “N” diperlukan analisa
yang matang tentang enterprise 1. Obeid, Doug., 2003 - 2004, NAC-Network
Applications Consorsium: “Enterprise
arsitektur teknologi informasi saat ini,
Security Architecture” Journal of NAC, E-
menyusun profil risiko perusahaan,
Journal on-line. Trough
menyimpulkan kontrol validasi
http://trygstad.rice.iit.edu:8000
terhadap gap analysis untuk /Articles/EnterpriseSecurityArchitecture-
melakukan penilaian risiko. NetworkApplicationsConsortium.pdf [June
5. Untuk memitigasi risiko teknologi 1, 2012, 6:40pm]
infromasi terkait keamanan PT “N” 2. Gary Stoneburner, Alice Goguen, and
dapat penyusunan dan perancangan Alexis Feringa, 2002, NIST sp800-30:
Security Technology Architecture “Risk Management Guide for Information
berdasarkan framework ESA dari Technology Systems” Journal of NIST. E-
OpenGroup yang melalui 4 (empat) Journal on-line. Trough
tahapan penting yaitu: menyusun dan http://csrc.nist.gov/publications/nistpubs/8
00-30/sp800-30.pdf [July 19, 2012,
merancang kerangka kerja konseptual,
7.40pm]
menyusun kerangka kerja arsitektur
3. NIST Special Publication 800-53 Revision
konseptual, merancang arsitektur logis
3, 2009, NIST sp800-53: “Information
dan merancang arsitektur fisik. Security” Journal of NIST. E-Journal on-
Adapun saran yang dapat diuraikan dari hasil line. Trough
penelitian ini adalah sebagai berikut: http://csrc.nist.gov/publications/nistpubs/8
1. Observarsi yang dilakukan untuk 00-53-Rev3/sp800-53-rev3-final.pdf., [July
20, 2012, 2.26pm]
menyusun dan merancang Security
4. Henk Jonkers (Ed.), Iver Band, Dick
Technology Architecture di PT “N”
Quartel, Henry Franken, Mick Adams,
harus dilakukan secara mendalam
Peter Haviland, and Erik Proper., July
karena kompleksifitas sistem informasi
2012. “Using The TOGAF 9.1 Architecture
di perusahaan. Content Framework with the Archimate
2. Untuk membantu proses perancangan 2.0 Modeling Language”. Journal of
Security Technology Architecture di PT Opengroup. E-Journal on-line. Trough
“N” disarankan menggunakan https://www2.opengroup.org/ogsys/jsp/pub
framework-framework tambahan untuk lications/PublicationDetails.jsp?publication
menganalisa sistem yang sedang id=12697 [July 18, 2012, 6.34am]
berjalan, menyusun profil risiko dan 5. De Haes, Steven, Ph.D. du Preez, Gert,
menyusun kontrol validasi terhadap CGEIT. Massa, Rachel, CGEIT. Bart,
72
Peeter. Steve, Reznik, CISA. Steuperaert, Practioner Guide”
Dirk, CISA, CGEI, 2009. ”The Risk IT

73