data center: keamanan

DATA CENTER: KEAMANAN

Tujuan• mengetahui dan memahami teknik mengamankan akses fisik

pada data center.• mengetahui dan memahami teknik mengamankan akses lojik

pada data center.

Indikator Penilaian(1)• Dasar

– Menyebutkan faktor-faktor yang mempengaruhi keamanan akses fisik pada data center

– Menyebutkan faktor-faktor yang mempengaruhi keamanan akses lojik pada data center

– Menjelaskan apa yang dimaksud dengan tier level dalam data center

• Menengah– Menjelaskan faktor-faktor yang mempengaruhi keamanan akses fisik

pada data center– Menjelaskan faktor-faktor yang mempengaruhi keamanan akses lojik

pada data center– Menjelaskan apa yang dimaksud dengan tier level dalam data center

dengan contohnya

Indikator Penilaian (2)• Mahir

– Menjelaskan teknik pengamanan akses fisik pada data center– Menjelaskan teknik pengamanan akses lojik pada data center– Menerapkan konsep dengan tier level dalam data center untuk

sebuah perusahaan

KEAMANAN FISIK DATACENTER

Faktor -Faktor

• Pemilihan lokasi• Tata ruang lokasi dan keamanan perimeter• Rancangan atau arsitektur bangunan• Pengamanan fasilitas pendukung• Pengendalian keamanan, surveillance dan

pembatasan hak akses• Keamanan fisik peralatan• Keamanan fisik data

Pemilihan Lokasi

• Lingkungan yang aman dari kriminalitas• Jarak minimal :dari kantor utama (lk 20 mil atau 32 km); dari

jalan raya /jalan tol (100 ft atau 160m)• Sejarah bebas dari banjir/bencana alam dalam 100 tahun

terakhir; termasuk tidak berada di daerah berpotensi bencana.

• Jauh dari fasilitas umum yang tidak sesuai, seperti: bandara, pabrik , tower , dll

• Tidak memasang papan nama

Tata ruang lokasi dan keamanan perimeter

• Landscaping atau pengaturan tata ruang disekeliling untuk menyamarkan keberadaan lokasi. Misalnya: pohon/hutan buatan, batu-batu besar, tebing(alami atau buatan), dll

• Buffer zone atau zona penyangga disekeliling bangunan. Misalnya: 100ft atau 300m dari bangunan.

• Fencing atau Pembuatan Pagar pembatas. Misalnya dengan ketinggian 3m, kawat berduri,dst.

• Penggunaan Crash Barriers atau pembatas jalan/portal. misalnya pada pintu masuk dan daerah diantara area parkir dengan gedung.

Rancangan atau arsitektur bangunan

• Penggunaan material bangunan yang kuat. Misal: beton tebal (concreet) atau beton yang diperkuat (reinforced concreet)

• Desain tahan gempa atau bencana alam, misal: suspensi, dll.• Desain bangunan tahan serangan bom, misal: menghindari

penggunaan jendela atau penggunaan kaca jendela khusus .• Menghilangkan lokasi-lokasi potensial untuk persembunyian,

misalnya: pada dinding atau loteng.• Pembatasan celah pada bangunan, misal jendela, dll.

Pengamanan fasilitas pendukung

• Perlindungan fasilitas kelistrikan, pendingin dan lainnya dengan dinding atau pagar.

• Perencanaan sirkulasi udara mandiri tanpa memerlukan pertukaran udara dari luar.

• Penggunaan pintu keluar darurat satu arah (untuk kebakaran).

• Sistem pemadaman kebakaran.• Redundansi dan penyamaran fasilitas pendukung., misalnya:

kabel listrik/komunikasi dari luar menggunakan kabel bawah tanah/ditanam, dan berasal dari arah yang berbeda.

Pengendalian keamanan, surveillance dan pembatasan hak

akses• Pembatasan pintu masuk (lokasi

atau gedung)• Petugas keamanan 24 jam.• Sistem kamera pengawas atau

CCTV• Menggunakan Pendeteksi bom• Pembatasan hak akses dengan

identifikasi multifaktor• Response cepat dari petugas

keamanan setempat (polisi, dll)

Keamanan fisik peralatan

• Memberikan lapisan tambahan sebelum kearea peralatan, misal: penggunaan mantraps.

• Pembatasan super ketat untuk akses ke ruangan komputer/rak.

• Melarang makanan/minuman di ruangan komputer

• Isolasi ruangan server/komputer dari ruangan pengujung/tamu

Keamanan fisik data

• Storage media lifecycle management adalah metoda atau teknik pengelolaan media penyimpanan dengan melakukan penggantian media penyimpanan dalam batasan umur pakai tertentu.

• Hardrive shredding adalah penghancuran hardrive yang sudah tidak digunakan secara

fisik.

Keamanan Datacenter Google

Ref: http://www.youtube.com/watch?v=1SCZzgfdTBo

KEAMANAN LOJIK DATACENTER

Beberapa Istilah pada Keamanan Datacenter

Beberapa istilah yang sering ditemui dalam topik keamanan lojik pada data center:

• Threat /AncamanSebuah kejadian yang dapat menghasilkan bahaya terhadap Data Center atau sumber daya yang ada padanya.

• Vulnerability/Kelemahan atau CelahKekurangan dari sistem atau sumberdaya yang jika dieksploitasi akan menyebabakan ancaman menjadi kenyataan.

• Attack / SeranganProses ekploitas dari kelemahan atau celah keamanan

Pemahaman Istilah

Jika dicontohkan pada aplikasi web:Threat: hilangnya kemampuan server aplikasi untuk memproses

permintaan dari user yang berhak.vulnerability: server menjalankan versi software yang dikenal

memeiliki kelemahan yang jika dieksploitasi dapat menjadi sebuah buffer oveflow attack.

Attack: kejadian dimana para cracker/hacker benar-benar melakukan exploitasi atas vulnerability tersebut sehingga menyebabkan server menjadi mati atau tidak dapat melayani.

Sumber Vulnerability

• ImplementasiCacat pada protokol dan perangkat lunak, implementasi rancangan software yang tidak tepat, pengujian perangkat lunak yang tidak bagus, dll

• KonfigurasiTerdapat bagian yang tidak dikonfigurasi dengan tepat, penggunaan konfigurasi default, dll

• DesainDesain keamanan yang tidak efektif atau tidak memadai, tidak ada/kurang tepat-nya implementasi mekanisme redundansi, dll

Security Attack

• Scanning / Probing• DoS ( Syn Flood , Smurf ), DDoS• Unauthorized Access and Network Intrusion (Backdoor, IP

spoofing )• Eavesdropping (packet capturing/sniffing)• Virus/Worms• Internet Infrastructure Attack• Trust Exploitation• Session Hijacking (IP spoofing)• Buffer Oveflow Attack• layer 2 Attack (ARP spoofing, MAC flooding, VLAN Hopping)

Ilustrasi Smurf

Ilustrasi DDoS

Ilustrasi ARP Spoofing

Faktor Pada Keamanan Lojik

• Identifikasi penggunamencakup aspek pengaturan hak akses pengguna secara lojik (jaringan atau perangkat lunak) pada datacenter.

• Keamanan jaringanmencakup pengaturan keamanan pada jaringan, misalnya pengaturan aliran data, penyaringan data, dll.

• Pengelolaan ancaman (Threat Management)Pendeteksian dan penanggulangan ancaman lojik. Dapat bersifat preventif atau korektif.

• Pengawasan jaringan (Network Monitoring)Pengawasan kondisi jaringan, misalnya utilisasi jaringan, pencatatan kejadian (event logging), dll

Metoda/Teknik Pengaman Lojik

• Daftar akses / Access lists (ACL)• Firewall• Intrusions Detection System (IDS)• Keamanan Layer 2• Logging

Access lists (ACL)

Mekanisme filter berdasarkan header dari paket yang diizinkan atau ditolak pada antarmuka (interface) jaringan tertentu.

Jenis Access List :• Standard ACL

Melakukan filter secara sederhana dengan menggunakan source IP Address.

• Extended ACLMelakukan filter dengan lebih banyak parameter, seperti source dan destination IP address, protokol layer 4, port layer 4, jenis pesan dan kode ICMP, jenis layanan dan prioritas (precedence)

Access lists (ACL) - Implementasi

Metoda Implementasi Access List :• Router ACLs (RACLs) • VLAN ACLs (VACLs) • Dynamic ACLs and lock and key • Reflexive ACLs

Firewall

Melakukan pemisahan antara segmen jaringan / LAN, sehingga setiap segmen dapat memiliki tingkatan keamanan dan pengaturan aliran data yang berbeda.

Pertimbangan dalam pemilihan/pembuatan firewall:• Kinerja

Packet per second (pps)/throughput, connection per second(cps), concurent connection, dll

• Dukungan terhadap aplikasiBeberapa aplikasi menggunakan metoda aliran data tertentu yang harus diantisipasi firewall agar dapat berfungsi dengan baik. Misal: voip pada NAT.

Jenis Firewall

• Packet-filtering firewall• Proxy firewalls• Stateful firewalls• Hybrid firewalls

Intrusions Detection System (IDS)

IDS merupakan system waktu nyata (realtime system) yang dapat mendeteksi intruder dan tindakan mencurigakan serta memberikan laporan kepada sebuah sistem pengawasan.

IDS terdiri dari:– Sensors

appliance atau perangkat lunak yang melakukan analisa lalulintas data jaringan atau penggunaan sumberdaya pada sebuah peralatan/system untuk mengidentifikasi intrusi atau aktifitas mencurigakan.

– IDS managementPeralatan-peralatan yang digunakan untuk melakukan konfigurasi dan pongelolaan sensor serta menggumpulkan data peringatan dari sensor.

Jenis IDS

• Berdasar Penempatan Sensor– Network-Based IDS– Host-based IDS

• Berdasarkan Cara Kerja– Anomaly-based– Signature-based

Keamanan Layer 2

Metoda pengamanan pada peralatan layer 2 dari serangan-serangan yang berbasis layers 2.

Terdiri dari:• Port Security• ARP Inspection• Private VLANs• 802.1Q Tag All• Private VLANs dan Firewalls

Logging

Metoda pengumpulan, pencatatan dan pengarsipan data, status, kejadian-kejadian pada software, peralatan dan system.

Dapat terpasang secara independen pada host atau terpusat pada sebuah server atau sistem logging berbasis jaringan.

TERIMA KASIH

TUGAS 07aBuatlah ringkasan tentang kaitan

antara keamanan , tier level dan biaya pada datacenter!

Minimal 3 referensi, tidak termasuk wikipedia dan referensi [3] bab 5 (wajib ada)!

Tugas 07a(Lanjutan)Keterangan:• Dikerjakan dalam kelompok maksimal 3 orang. Daftar kelompok ada pada

milis. Lampirkan tabel pembagian tugas pada setelah halaman terakhir.• Tulis referensi• file disimpan dalam format yg dapat dibaca oleh (microsoft|open)office

atau pdf.• perhatikan ukuran file, jika besar, tolong dikompres.• pertimbangkan bahwa seluruh peserta milis akan menerima file tersebut!

Tugas 07a(Lanjutan)• Aturan :

Subject email : 07a_KELOMPOK##_Judul

Nama file : 07a_KELOMPOK##_Judul/Keterangan

Batas waktu : Kamis, 5 April 2012 jam 24:00

• Kirim ke : tk2154-201201@kelas.yusandra.info

Referensi Tambahan

• Dusenberry, Donald, Handbook for Blast Resistant Design of Buildings, Wiley, 2010)

• Bowman, Ronald, Business Continuity Planning for Data Centers and Systems: A Strategic Implementation Guide, Wiley, 2008

• Allsopp, Wil, et all , Unauthorised Access: Physical Penetration Testing For IT Security Teams, Wiley, 2009