EIKON Technology

logo Eikon
Menu

zero trust

Google Cloud

Penerapan Keamanan Zero Trust pada Workload dengan GKE, Traffic Director, dan CA Service

Pendekatan keamanan zero trust meyakini bahwa rasa percaya baru bisa dicapai setelah melalui berbagai mekanisme dan harus terus diverifikasi. Zero trust sendiri telah diterapkan di Google pada proses end-to-end dalam menjalankan sistem produksi dan melindungi workload pada infrastruktur cloud-native. Layanan ini kemudian disebut dengan BeyondProd. Untuk membangun dan memverifikasi kepercayaan dalam sistem produksi tersebut memerlukan pemahaman bahwa: tiap workload memiliki identitas yang unik dan kredensial untuk otentikasi. lapisan otorisasi yang menentukan komponen sistem mana yang dapat berkomunikasi dengan komponen lain. Mari pelajari lebih lanjut mengenai bagaimana Google menerapkan pendekatan Zero trust untuk mengamankan workload dalam ulasan berikut ini. Remote procedure calls Untuk mulai menerapkan pendekatan Zero touch, Anda bisa mempertimbangkan sebuah arsitektur cloud-native dengan beberapa aplikasi yang dipecah menjadi beberapa microservices. Prosedur data-transfer in-process menjadi remote procedure calls (RPCs) melalui jaringan antar microservices. Tahapan mengamankan RPC: setiap microservices perlu memastikan bahwa RPC yang diterima hanya berasal dari pengirim yang telah diautentikasi dan memiliki wewenang. mengirim RPC hanya kepada penerima yang dituju. memiliki jaminan bahwa RPC tidak dimodifikasi saat transit. Oleh karenanya, service mesh perlu menyediakan identitas layanan, peer-authentication berdasarkan identitas layanan tersebut, enkripsi komunikasi antara peer-identities yang diautentikasi, dan otorisasi komunikasi service-to-service berdasarkan identitas layanan (dan mungkin atribut lainnya). Traffic Director Photo Credit: Rawpixel Untuk memberikan keamanan service mesh yang memenuhi kriteria di atas, Google menyediakan layanan keamanan baru melalui Traffic Director yang menyediakan kredensial workloads untuk GKE (Google Kubernetes) via CA Service, dan penegakan kebijakan untuk mengatur komunikasi antar workload. Kredensial yang dikelola sepenuhnya memberikan dasar untuk menjelaskan identitas workload dan mengamankan koneksi antara workload yang memanfaatkan mutual TLS (mTLS), sambil tetap menerapkan prinsip Zero trust. Hambatan penerapan mTLS Sayangnya, penerapan mTLS untuk keamanan service-to-service melibatkan kerja berat dan overhead yang cukup besar bagi developer, SRE, dan juga tim penerapan. Developer harus menulis kode untuk memuat sertifikat dan kunci dari lokasi yang telah dikonfigurasi sebelumnya untuk bisa menggunakannya dalam koneksi service-to-service merke. Di samping itu, mereka juga harus melakukan kerangka kerja tambahan atau bahkan pemeriksaan keamanan lanjutan berbasis aplikasi pada koneksi tersebut. Tidak hanya berhenti di situ, SRE dan tim penerapan juga harus mengaplikasikan kunci dan sertifikat di semua node yang nanti diperlukan untuk melacak masa kedaluwarsanya. Rotasi sertifikat ini melibatkan pembuatan CSR (certificate signing requests), menunggu tanda tangan dari Certificate Authorities (CA), menginstal sertifikat yang ditandatangani, dan menginstal sertifikat root yang sesuai. Proses ini sangat penting karena jika identitas atau sertifikat root sudah kedaluwarsa maka layanan akan otomatis offline dalam waktu lama. Integrasi tanpa batas sebagai solusi Untuk mengatasi hambatan tersebut, Google menciptakan integrasi tanpa batas antara infrastruktur CA, infrastruktur komputasi atau penerapan, serta infrastruktur mesh service. Dalam implementasinya, Certificate Authority Service (CAS) menyediakan sertifikat untuk mesh service, infrastruktur GKE yang terintegrasi dengan CAS, dan bidang kontrol Traffic Director yang terintegrasi dengan GKE. Photo Credit: Google Cloud Blog Komponen sertifikat GKE terus-menerus berkomunikasi dengan kumpulan CA untuk membuat sertifikat identitas layanan dan membuat sertifikat tersebut tersedia untuk tiap workload yang berjalan di pod GKE. CA secara otomatis diperbaharui dan tiap roots baru akan diserahkan kepada klien sebelum masa kedaluwarsa. Traffic Director sendiri merupakan kontrol service mesh  yang menyediakan kebijakan, konfigurasi, dan kecerdasan untuk entitas bidang data, dan memasok konfigurasi ke aplikasi milik klien serta server. Konfigurasi ini berisi pemindahan yang diperlukan dan informasi keamanan tingkat aplikasi untuk mengaktifkan koneksi mTLS. Kemudian setelah koneksi mTLS aktif maka kebijakan otorisasi yang sesuai dapat diterapkan pada RPC yang mengalir melalui koneksi tersebut. Pada akhirnya workload menggunakan konfigurasi keamanan untuk membuat koneksi mTLS yang sesuai dan menerapkan kebijakan keamanan yang disediakan.  Photo Credit: Rawpixel Pendekatan Zero trust menganggap bahwa kepercayaan baru bisa didapat setelah melalui rangkaian mekanisme khusus dan juga proses validasi yang terus diverifikasi. Google Cloud melalui berbagai layanan di dalamnya berusaha menerapkan pendekatan ini untuk memudahkan Anda mengelola workload. Layanan pengelolaan workload dengan GKE dan Traffic Director tidak akan bisa Anda nikmati tanpa berlangganan Google Cloud. EIKON Technology sebagai partner resmi Google di Indonesia siap membantu Anda mendapatkan Google Cloud secara legal. Klik di sini untuk informasi lebih lanjut.

Info

Aplikasi Sistem Zero Trust Terpadu dengan BeyondCorp dan BeyondProd

Akhir-akhir ini, istilah zero trust sering digunakan dalam pembahasan tentang keamanan siber. Namun, ada kalanya istilah tersebut salah dipahami maknanya. Banyak yang mengira bahwa Zero Trust berarti “tidak percaya pada apa pun” ada juga mengartikan sebagai “akses yang 100% aman bahkan tanpa menggunakan VPN (Virtual Private Network). Benarkah demikian? Pada dasarnya, inti dari pendekatan Zero Trust adalah meyakini bahwa tiap komponen tunggal dari sebuah sistem yang kompleks dan berhubungan berpotensi menimbulkan risiko keamanan yang signifikan. Jadi, “trust” sendiri adalah sesuatu yang perlu dibangun melalui berbagai mekanisme dan harus terus melalui proses verifikasi. Pendekatan ini sendiri telah diterapkan oleh Google pada sebagian besar aspek operasi mereka. Melalui BeyondCorp Enterprise, Google meluncurkan layanan yang mencakup perlindungan terhadap threat dengan integrasi data. BeyondCorp kemudian dikembangkan lagi hingga akhirnya melahirkan layanan keamanan cloud-native untuk sistem internal, BeyondProd. BeyondProd layanan berbasis zero trust dari Google Photo Credit: Google Cloud BeyondProd sendiri pertama diperkenalkan melalui white paper yang diterbitkan Google di penghujung tahun 2019.  Secara garis besar, BeyondProd mengembangkan prinsip-prinsip keamanan siber berikut: Perlindungan tepi jaringan komputer (network edge), sehingga workload terpisah dari serangan jaringan dan traffic yang berbahaya. Tidak ada “mutual trust” antar layanan. Jadi, layanan hanya dapat digunakan oleh pengguna yang dikenal dan diberi akses khusus. Langkah ini akan menghalangi penyerang untuk mengakses layanan. Mesin tepercaya yang dirancang dengan teknologi Titan. Penggunaan mesin ini akan membatasi akses kode hanya dari sumber yang jelas, menggunakan konfigurasi resmi, dan hanya bisa dijalankan pada lingkungan yang telah terverifikasi. Penggunaan choke point untuk penerapan policy yang konsisten. Penggantian rollout yang lebih sederhana dan bisa berjalan otomatis. Dengan begitu, perubahan pada infrastruktur lebih mudah dievaluasi. Security patches pun bisa dijalankan dengan efek minimal pada proses produksi. Penyekatan antara workloads yang berbagi sistem operasi. Jika satu workload tersusupi maka keamanan workload lainnya yang berjalan di satu host tidak akan terpengaruh.. Perbedaan BeyondCorp dengan BeyondProd BeyondCorp lahir sebagai solusi atas perubahan model kerja masyarakat. Seperti yang Anda ketahui, saat ini banyak orang yang bekerja di luar kantor (remote). Otomatis, mereka pun berada di luar batas keamanan jaringan siber kantor. BeyondCorp menawarkan solusi dengan menciptakan sebuah batas keamanan di luar metode konvensional yang hanya berpatokan pada kredensial serta atribut perangkat. Baca juga: “BeyondCorp Enterprise, Pengembangan Prinsip Zero Trust pada Google Chrome” Pendekatan yang diterapkan BeyondProd pun hampir mirip. BeyondProd menerapkan zero trust untuk melindungi jaringan. Dengan menggunakan BeyondProd, layanan mikro bisa tetap berjalan meski user tidak berada di dalam pusat data yang dilindungi firewall. BeyondProd memungkinkan layanan tersebut untuk tetap berjalan secara aman di public cloud, private cloud, bahkan dalam lokasi yang di-host oleh pihak ketiga. Dalam masalah kepercayaan pengguna, BeyondCorp menitikberatkan pada keadaan perangkat sadar konteks (context-aware), bukan kemampuan untuk terhubung ke jaringan perusahaan. Sedangkan BeyondProd  fokus pada karakteristik seperti asal kode dan identitas layanan, bukan lokasi jaringan produksi (seperti IP atau identitas host). Mengaplikasikan prinsip BeyondProd Photo Credit: Raw Pixel Google secara terbuka menawarkan layanan BeyondProd kepada pengguna Google Cloud. Anda bisa menemukan fitur-fitur khas BeyondProd dalam platform tersebut, misalnya Anthos melalui fitur Binary Authorization dan Anthos Service Mesh. Jika ingin menerapkan prinsip BeyondProd di lingkungan Anda sendiri, Google menyediakan beberapa komponen yang dapat diakses melalui Anthos, Google Kubernetes Engine (GKE), dan juga beberapa open source seperti: Envoy, untuk pemutusan TLS dan kebijakan traffic masuk. Anthos Service Mesh, perangkat keamanan zero trust untuk mengamankan layanan dan komunikasi di dalamnya secara otomatis. Anthos Identity Services, Layanan Identitas Anthos untuk mendukung federasi identitas di seluruh lingkungan. Otorisasi Biner. Anthos Config Management Policy Controller. Node GKE terlindung. gVisor atau GKE Sandbox, untuk penyekatan workloads. Seluruh kemudahan dan keamanan yang ditawarkan BeyondProd dapat Anda nikmati dengan berlangganan Google Cloud. Nah, untuk berlangganan Google Cloud sendiri, sebaiknya hubungi partner resmi yang telah diakui Google untuk mendistribusikan produk mereka. Di Indonesia sendiri ada EIKON Technology. EIKON Technology merupakan mitra resmi Google di Indonesia yang menyediakan produk serta solusi dari Google secara legal. Klik di sini untuk terhubung langsung dengan tim EIKON Technology.

Google Cloud

3 Fitur Baru BeyondCorp Enterprise untuk Tingkatkan Keamanan Akses Resources Perusahaan Anda

Sejak diluncurkan awal tahun 2021 lalu, BeyondCorp Enterprise terus melakukan evaluasi terhadap produk mereka guna memenuhi setiap kebutuhan pengguna dan tentunya untuk meningkatkan keamanan mereka. Prinsip zero trust yang diusung BeyondCorp pun terus dikembangkan untuk menciptakan sebuah ruang aman bebas dari intaian bahaya kejahatan siber. Nah, Anda bisa membuktikan inovasi yang dilakukan BeyondCorp melalui tiga fitur yang baru mereka luncurkan. Apa saja? Akses certificate-based melalui Kontrol Layanan VPC Photo Credit: Google Cloud Fitur baru BeyondCorp Enterprise yang pertama adalah akses certificate-based untuk Google Cloud Platform (GCP)API melalui Kontrol Layanan VPC (VPC-SC). Autentikasi akses menuju Google Cloud Console dan Google Cloud API dengan menggunakan kredensial sebenarnya bukanlah hal baru. Namun jika kredensial tersebut tidak sengaja terekspos, dampaknya bisa berbahaya. Kredensial dapat ditemukan oknum yang tak bertanggungjawab untuk mendapatkan akses. Dengan adanya akses certificate-based maka risiko pencurian kredensial akan berkurang. Sebab, akses hanya akan diberikan jika sertifikat perangkat dapat diverifikasi oleh sistem. Saat ini Google menawarkan dukungan untuk delapan jenis resources Kontrol Layanan VPC yaitu BigQuery, Cloud KMS, GCS,GCE, GKE, Logging, PubSub, dan Spanner. Jumlah resources tersebut akan terus bertambah seiring berjalannya waktu. Konektor On-premises Pada update BeyondCorp Enterprise terbaru, Google menyediakan opsi tambahan untuk menghubungkan resources lokal melalui fitur konektor On-premises mereka. Dengan konektor On-premises ini, Anda dapat mengamankan resources lokal seperti aplikasi berbasis HTTP atau HTTPS di luar Google Cloud dengan menggunakan Identity-Aware Proxy (IAP). Saat Anda mengajukan sebuah aplikasi lokal, IAP akan otomatis mengautentikasi dan menyetujui pengajuan tersebut. Setelah itu, Anda akan diarahkan pada konektor. Konfigurasi kebijakan akses khusus yang lebih mudah Berikutnya, BeyondCorp Enterprise menawarkan lebih banyak atribut pada akses zero trust dalam Access Context Manager. Dengan adanya pembaruan ini, administrator dapat membuat kebijakan kontrol akses yang lebih detail untuk melindungi resources mereka di Google Cloud. Apa saja atribut baru yang bisa Anda sematkan untuk akses zero trust? Waktu dan tanggal Ada kalanya administrator perlu membatasi akses user menuju resources pada hari dan waktu tertentu, terutama saat mereka sedang mengevaluasi akses zero trust. Dengan fitur konfigurasi baru dari BeyondCorp Enterprise, administrator dapar menentukan kontrol akses menuju resources dalam rentang waktu atau tanggal tertentu. Tingkat kekuatan kredensial Photo Credit: Elchinator (Pixabay) Salah satu upaya preventif untuk mencegah pelanggaran keamanan adalah dengan melakukan verifikasi dua langkah (two-steps verification). Dengan menerapkan penilaian terhadap kekuatan kredensial maka perusahaan bisa lebih mudah menerapkan kontrol akses. Chrome Browser Sebelum memberikan akses, administrator akan menilai tingkat keamanan user. User yang mengakses resources perusahaan dengan tingkat keamanan tinggi maka akan lebih mudah mendapat akses. Sebaliknya, user yang memiliki tingkat keamanan rendah cenderung lebih sulit mengakses resources atau bahkan tidak akan mendapat akses sama sekali. Bagaimana administrator menilai tingkat keamanan user? Selain dari tingkat kredensialnya, user juga dinilai dari lingkungan browser atau peramban yang ia gunakan, Melalui fitur baru ini, administrator dapat menentukan akses untuk user dari status manajemen, versi minimum peramban, aktivasi pemeriksaan URL real-time, aktivasi analisis unggah dan unduh file, aktivasi fitur paste (untuk bulk text), hingga aktivasi pelaporan peristiwa. Photo Credit: Firmbee (Pixabay) Meski tergolong baru, inovasi-inovasi yang dilakukan BeyondCorp Enterprise dalam mengupayakan sistem keamanan tingkat tinggi untuk melindungi resources patut diacungi jempol. Buktinya dapat dilihat dari tiga fitur baru yang dibahas dalam artikel ini. Merasa sistem perlindungan resources perusahaan Anda perlu ditingkatkan? BeyondCorp bisa menjadi solusi yang efektif sekaligus praktis. Untuk menggunakan fitur-fiturnya, dapat dilakukan dengan cara berlangganan Google Cloud. Tidak perlu bingung mencari layanan penyedia Google Cloud. Anda cukup menghubungi EIKON Technology yang merupakan partner resmi Google dalam distribusi produk dan layanan mereka, termasuk Google Cloud. Anda juga bisa berdiskusi dengan tim EIKON Technology untuk menentukan infrastruktur cloud yang paling sesuai kebutuhan.

Chromebook, Security

BeyondCorp Enterprise, Pengembangan Prinsip Zero Trust pada Google Chrome

  Sejak pertama kali dirilis pada 2008, Google Chrome selalu berkomitmen untuk terus meningkatkan sistem keamanan web. Berbagai fitur, inovasi, dan inisiatif pun dilakukan demi memberikan pengalaman web browsing dengan keamanan optimal bagi para pengguna. Sebagai salah satu upaya untuk terus menciptakan web browser yang aman, Google Chrome bekerja sama dengan tim Google Cloud Security menjalankan suatu inisiatif baru. Inisiatif ini dinamakan BeyondCorp Enterprise, yang dikembangkan berdasarkan prinsip zero trust. Melalui adanya BeyondCorp Enterprise, kini Google Chrome mampu memberikan proteksi keamanan yang lebih baik dan bersifat real-time tanpa perangkat lunak (software) tambahan. Proteksi dalam bentuk apa saja yang disediakan oleh BeyondCorp Enterprise? Simak penjelasan selengkapnya di bawah ini! Dikembangkan berdasarkan prinsip zero trust Photo Credit: Jefferson Santos (Unsplash) Seperti disebutkan sebelumnya, pengembangan BeyondCorp Enterprise dilakukan berdasarkan prinsip zero trust. Konsep utama di balik prinsip ini adalah tidak ada jaringan web yang bisa dipercaya secara default sehingga aksesnya harus selalu diamankan dan diautorisasi. Melalui pemasangan pada Chrome, BeyondCorp Enterprise dapat memberikan solusi bersifat zero trust untuk melindungi data Anda, proteksi lebih baik secara real-time dari berbagai ancaman, sekaligus menyediakan informasi penting tentang perangkat untuk membantu Anda menentukan apakah perangkat tersebut berhak mendapatkan akses web.  Berbagai kelebihan tersebut sudah langsung terpasang pada Chrome. Artinya, Anda tak perlu mengunduh software tambahan apa pun untuk bisa mendapatkan perlindungan lebih dari BeyondCorp Enterprise. Lebih baik dalam mencegah kebocoran data dan kejahatan siber Photo Credit: Google Peningkatan keamanan web menjadi fokus utama BeyondCorp Enterprise. Mengusung prinsip zero trust, BeyondCorp Enterprise mampu meningkatkan performa Chrome dalam mencegah risiko kebocoran data di web, khususnya untuk data-data yang bersifat sensitif. Tim IT perusahaan kini dapat menerapkan aturan khusus untuk menentukan tipe data apa saja yang bisa diunggah dan diunduh. Dengan begini, karyawan perusahaan pun tidak akan asal mengunggah maupun mengunduh data yang bisa saja berbahaya untuk keamanan perusahaan. Tak hanya itu, BeyondCorp Enterprise juga menunjang pencegahan potensi kejahatan siber seperti malware dan phishing. Adanya prinsip zero trust memungkinkan BeyondCorp Enterprise untuk mengecek URL secara real-time dan melakukan pemindaian mendalam terhadap file untuk melacak adanya malware. Peningkatan kewaspadaan terhadap ancaman risiko Photo Credit: Google Di samping mengoptimalkan proteksi keamanan terhadap jaringan web pada Chrome, BeyondCorp Enterprise juga dapat membantu perusahaan dalam meningkatkan kewaspadaan terhadap ancaman risiko kejahatan siber. Melalui BeyondCorp Enterprise berbasis prinsip zero-trust, kini perusahaan atau organisasi akan mendapatkan lebih banyak informasi mendalam seputar adanya potensi ancaman atau aktivitas online yang mencurigakan. Informasi tersebut dapat diakses melalui laporan berbasis cloud. Sebagai contoh, jika seandainya ada seorang karyawan mengunduh file berbahaya menggunakan perangkat perusahaan, atau misalnya karyawan tersebut log in pada situs phishing, maka Anda akan langsung mendapatkan notifikasi sehingga bisa segera mengambil tindakan yang sesuai.   Berkat inisiatif BeyondCorp Enterprise dengan prinsip zero trust, kini Anda dan segenap tim di perusahaan bisa menggunakan Chrome secara lebih aman dan nyaman. Terlebih jika Anda mengaksesnya melalui perangkat Chromebook yang berbasis Chrome OS, sistem operasi yang khusus diciptakan untuk Chromebook. Hal tersebut memungkinkan Chrome untuk memberikan performa yang lebih optimal. Tidak percaya? Anda bisa membuktikannya sendiri dengan mendapatkan perangkat Chromebook melalui partner resmi produk Google seperti EIKON Technology. Menyediakan banyak jenis perangkat Chromebook dengan beragam fitur, tim EIKON Technology akan membantu Anda memilih yang paling sesuai dengan kebutuhan. Hubungi EIKON Technology sekarang juga di sini!  

Scroll to Top