Pages

Monday, September 30, 2024

Tinjauan Topologi Jaringan

Jaringan Area Kampus

Semua jaringan merupakan target. Namun, fokus utama kursus ini adalah mengamankan Campus Area Networks (CAN). Campus Area Networks terdiri dari LAN yang saling terhubung dalam area geografis yang terbatas.

Profesional jaringan harus menerapkan berbagai teknik keamanan jaringan untuk melindungi aset organisasi dari ancaman luar dan dalam. Koneksi ke jaringan yang tidak tepercaya harus diperiksa secara mendalam oleh beberapa lapisan pertahanan sebelum mencapai sumber daya perusahaan. Ini dikenal sebagai pertahanan mendalam.

Gambar tersebut menampilkan contoh CAN dengan pendekatan pertahanan mendalam yang menggunakan berbagai fitur keamanan dan perangkat keamanan untuk mengamankannya. Tabel tersebut memberikan penjelasan tentang elemen desain pertahanan mendalam yang ditunjukkan pada gambar.

 

Jaringan Kantor Kecil dan Kantor Rumah 

Penting untuk melindungi semua jenis jaringan, berapa pun ukurannya. Penyerang juga tertarik pada jaringan rumah dan jaringan kantor kecil dan kantor rumah (SOHO). Mereka mungkin ingin menggunakan koneksi internet seseorang secara gratis, menggunakan koneksi internet untuk aktivitas ilegal, atau melihat transaksi keuangan, seperti pembelian daring.

Jaringan rumah dan SOHO biasanya dilindungi menggunakan router kelas konsumen. Router ini menyediakan fitur keamanan dasar yang cukup melindungi aset internal dari penyerang luar.

Gambar tersebut menampilkan contoh SOHO yang menggunakan router nirkabel kelas konsumen untuk mengamankannya. Router nirkabel kelas konsumen menyediakan fitur firewall terintegrasi dan koneksi nirkabel yang aman. Layer 2 Switch adalah switch lapisan akses yang diperkuat dengan berbagai langkah keamanan. Switch ini menghubungkan port yang menghadap pengguna yang menggunakan keamanan port ke jaringan SOHO. Host nirkabel terhubung ke jaringan nirkabel menggunakan teknologi enkripsi data Wireless Protected Access 2 (WPA2). Host biasanya memiliki perangkat lunak antivirus dan antimalware yang terpasang. Jika digabungkan, langkah keamanan ini memberikan pertahanan menyeluruh di berbagai lapisan jaringan.

 

Jaringan Area Luas

Jaringan Area Luas (WAN), seperti yang ditunjukkan pada gambar, menjangkau area geografis yang luas, sering kali melalui internet publik. Organisasi harus memastikan transportasi yang aman untuk data yang bergerak saat data tersebut berpindah antar situs melalui jaringan publik.

Profesional keamanan jaringan harus menggunakan perangkat yang aman di tepi jaringan. Pada gambar, situs utama dilindungi oleh ASA, yang menyediakan fitur firewall stateful dan membangun terowongan VPN yang aman ke berbagai tujuan.

Gambar tersebut menunjukkan situs cabang, situs regional, situs SOHO, dan pekerja seluler. Situs cabang terhubung ke situs utama perusahaan menggunakan ISR yang diperkuat. ISR dapat membuat koneksi VPN yang selalu aktif secara permanen ke firewall ASA situs utama. Situs regional lebih besar dari situs cabang dan terhubung ke situs utama perusahaan menggunakan ASA. ASA dapat membuat koneksi VPN yang selalu aktif secara permanen ke ASA situs utama. Situs SOHO adalah situs cabang kecil yang terhubung ke situs utama perusahaan menggunakan router nirkabel Cisco. Router nirkabel dapat membuat koneksi VPN yang selalu aktif secara permanen ke ASA situs utama. Atau, pengguna SOHO internal dapat menggunakan klien Cisco AnyConnect VPN untuk membuat koneksi VPN yang aman ke ASA situs utama. Pekerja seluler adalah pekerja jarak jauh yang dapat menggunakan klien Cisco AnyConnect VPN untuk membuat koneksi VPN yang aman ke ASA situs utama dari lokasi mana pun.


Jaringan Pusat Data

Jaringan pusat data biasanya ditempatkan di fasilitas di luar lokasi untuk menyimpan data sensitif atau kepemilikan. Lokasi ini terhubung ke lokasi perusahaan menggunakan teknologi VPN dengan perangkat ASA dan sakelar pusat data terintegrasi, seperti sakelar Cisco Nexus berkecepatan tinggi.

Pusat data saat ini menyimpan sejumlah besar informasi sensitif dan penting bagi bisnis. Oleh karena itu, keamanan fisik sangat penting untuk pengoperasiannya. Keamanan fisik tidak hanya melindungi akses ke fasilitas tetapi juga melindungi orang dan peralatan. Misalnya, alarm kebakaran, alat penyiram, rak server yang diperkuat seismik, sistem pemanas, ventilasi, dan pendingin udara (HVAC) redundan, dan sistem UPS tersedia untuk melindungi orang, peralatan, dan data.

Seperti yang disorot dalam gambar, keamanan fisik pusat data dapat dibagi menjadi dua area:

  • Keamanan perimeter luar - Ini dapat mencakup petugas keamanan di lokasi, pagar, gerbang, pengawasan video berkelanjutan, dan alarm pelanggaran keamanan.
  • Keamanan perimeter dalam - Ini dapat mencakup pengawasan video berkelanjutan, detektor gerakan elektronik, perangkap keamanan, dan sensor akses dan keluar biometrik.

Keamanan Fisik Pusat Data

Perangkap keamanan menyediakan akses ke ruang data tempat data pusat data disimpan. Seperti yang ditunjukkan pada gambar di bawah, perangkap keamanan mirip dengan kunci udara. Seseorang harus terlebih dahulu memasuki perangkap keamanan menggunakan kartu jarak dekat ID lencana mereka. Setelah orang tersebut berada di dalam perangkap keamanan, pengenalan wajah, sidik jari, atau verifikasi biometrik lainnya digunakan untuk membuka pintu kedua. Pengguna harus mengulangi proses tersebut untuk keluar dari ruang data.

Perangkap Keamanan

Gambar di bawah menampilkan pemindai sidik jari biometrik yang digunakan untuk mengamankan akses ke Pusat Data Cisco Allen, di Allen, Texas.

 Akses Biometrik

 

Jaringan Cloud dan Virtualisasi

Cloud memainkan peran yang semakin penting dalam jaringan perusahaan. Cloud computing memungkinkan organisasi untuk menggunakan layanan seperti penyimpanan data atau aplikasi berbasis cloud, untuk memperluas kapasitas atau kapabilitas mereka tanpa menambahkan infrastruktur. Berdasarkan sifatnya, cloud berada di luar perimeter jaringan tradisional, yang memungkinkan organisasi untuk memiliki pusat data yang mungkin berada atau tidak di balik firewall tradisional.

Istilah "cloud computing" dan "virtualisasi" sering digunakan secara bergantian; namun, keduanya memiliki arti yang berbeda. Virtualisasi adalah fondasi cloud computing. Tanpanya, cloud computing, sebagaimana yang paling banyak diterapkan, tidak akan mungkin dilakukan. Cloud computing memisahkan aplikasi dari perangkat keras. Virtualisasi memisahkan sistem operasi dari perangkat keras.

Jaringan cloud terdiri dari server fisik dan virtual yang umumnya ditempatkan di pusat data. Namun, pusat data semakin banyak menggunakan mesin virtual (VM) untuk menyediakan layanan server kepada klien mereka. Virtualisasi server memanfaatkan sumber daya komputasi yang tidak aktif dan menggabungkan jumlah server yang dibutuhkan. Hal ini juga memungkinkan beberapa sistem operasi berada pada satu platform perangkat keras. Namun, VM juga rentan terhadap serangan tertarget tertentu seperti yang tercantum di bawah ini.

  • Hyperjacking - Seorang penyerang dapat membajak hypervisor VM (perangkat lunak pengendali VM) dan kemudian menggunakannya sebagai titik peluncuran untuk menyerang perangkat lain di jaringan pusat data.
  • Aktivasi Instan - Ketika VM yang tidak digunakan selama beberapa waktu diaktifkan, VM tersebut mungkin memiliki kebijakan keamanan yang ketinggalan zaman yang menyimpang dari keamanan dasar dan dapat menimbulkan kerentanan keamanan.
  • Badai Antivirus - Ini terjadi ketika semua VM mencoba mengunduh berkas data antivirus secara bersamaan.


Bagi tim keamanan, strategi yang mudah diterapkan namun komprehensif yang memenuhi tuntutan bisnis dan mempertahankan pusat data merupakan suatu keharusan. Cisco mengembangkan solusi Secure Data Center untuk beroperasi dalam lanskap ancaman yang tidak dapat diprediksi ini. Solusi Cisco Secure Data Center memblokir ancaman internal dan eksternal di tepi pusat data.

Komponen inti dari solusi Cisco Secure Data Center menyediakan layanan berikut:

  • Segmentasi Aman - Perangkat ASA dan Virtual Security Gateway yang terintegrasi ke dalam switch Cisco Nexus Series disebarkan dalam jaringan pusat data untuk menyediakan segmentasi yang aman. Ini menyediakan keamanan antar-mesin virtual yang terperinci. Pertahanan terhadap
  • Ancaman - Perangkat ASA dan IPS dalam jaringan pusat data menggunakan intelijen ancaman, sidik jari OS pasif, serta analisis reputasi dan kontekstual untuk menyediakan pertahanan terhadap ancaman.
  • Visibilitas - Solusi visibilitas disediakan menggunakan perangkat lunak seperti Cisco Security Manager yang membantu menyederhanakan operasi dan pelaporan kepatuhan.

 

Perbatasan Jaringan yang Berkembang

Di masa lalu, karyawan dan sumber daya data tetap berada dalam perimeter yang telah ditetapkan sebelumnya yang dilindungi oleh teknologi firewall. Karyawan biasanya menggunakan komputer yang dikeluarkan perusahaan yang terhubung ke LAN perusahaan yang terus dipantau dan diperbarui untuk memenuhi persyaratan keamanan.

Saat ini, titik akhir konsumen, seperti iPhone, ponsel pintar, tablet, dan ribuan perangkat lainnya, menjadi pengganti atau pelengkap yang kuat bagi PC tradisional. Semakin banyak orang menggunakan perangkat ini untuk mengakses informasi perusahaan. Tren ini dikenal sebagai Bring Your Own Device (BYOD).

Untuk mengakomodasi tren BYOD, Cisco mengembangkan Borderless Network. Dalam Borderless Network, akses ke sumber daya dapat dimulai oleh pengguna dari banyak lokasi, pada berbagai jenis perangkat titik akhir, menggunakan berbagai metode konektivitas.

Untuk mendukung tepi jaringan yang kabur ini, perangkat Cisco mendukung fitur Mobile Device Management (MDM). Fitur MDM mengamankan, memantau, dan mengelola perangkat seluler, termasuk perangkat milik perusahaan dan perangkat milik karyawan. Perangkat yang didukung dan dikelola MDM tidak hanya mencakup perangkat genggam, seperti ponsel pintar dan tablet, tetapi juga perangkat komputasi laptop dan desktop.

 

 

 


Diposkan oleh di
Label:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)