Strategi Mitigasi #10 – Segmentasi dan pemisahan jaringan

Mitigasi

segmentasi dan pemisahan jaringan kedalam zona sekuriti untuk memproteksi informasi sensitif dan servis kritikal, seperti autentifikasi pengguna oleh servis Microsoft Active Directory.

segmentasi jaringan melibatkan partisi jaringan ke jaringan yang lebih kecil. pemisahan melibatkan pegembangan dan penerapan seperangkat aturan pengendalian, dimana stasiun kerja dan peladen di izinkan untuk berkomunikasi dengan stasiun-kerja dan peladen lainnya. sebuah contoh, pada jaringan perusahaan besar, jaringan komunikasi langsung antara pengguna stasiun-kerja tidak harus diwajibkan atau diizinkan.

Dasar Pemikiran

segmentasi jaringan dan pemisahan membantu untuk mencegah musuh dalam dunia maya merambat lewat jaringan organisasi sebagai tahapan kedua dari penyusupan lewat dunia maya.

jika diimplementasikan dengan benar, secara signifikan dapat membuat musuh dalam dunia maya kesulitan untuk mencari dan mendapatkan akses ke informasi yang paling sensitif dalam organisasi.

Panduan Implementasi

segmentasi dan pemisahan jaringan harus berdasarkan dengan kebutuhan konektifitas, peran pekerjaan pengguna, fungsi bisnis, batas kepercayaan dan informasi sensitif yang disimpan.

kontrol jaringan yang dapat membantu dalam hal implementasi segmentasi dan pemisahan jaringan yaitu switches, virtual LAN, enclave, data diodes, firewall, routers dan Network Access Control.

membatasi VPN dan akses jauh lainnya, koneksi nirkabel, komputer jinjing, ponsel cerdas dan komputer tablet merupakan bagian dari implementasi “bawa perangkat anda sendiri”.

Organisasi yang menggunakan virtualisasi untuk sistem operasi, (terutama pihak ketiga) infrastruktur cloud computing, atau mengharuskan pengguna dengan “Bawa Devicemu Sendiri” atau akses jauh untuk jaringan pada organisasi, mungkin membutuhkan kontrol apalagi ketika tidak bergantung pada arsitektur jaringan fisik. Beberapa kontrol termasuk firewall pada tiap personal dan “Peladen Ipsec dan Isolasi Domain”.

Penggunaan Ipsec menyediakan jaringan yang flexible untuk segementasi dan pemisahan. Beberapa contoh, autentifikasi IPsec bisa memastikan bahwa jaringan yang spesifik atau port pada sensitif peladen hanya bisa diakses oleh stasiun-kerja yang spesifik seperti stasiun-kerja milik administrators.

Sensitif peladen seperti Active Directory dan autentifikasi peladen lainnya seharusnya bisa diberikan dari sejumlah peladen perantara disebut sebagai “jump server” . jump server harus diawasi, diamankan dengan baik, dibatasi pengguna mana dan servis jaringan device yang dapat berhubungan, dan tidak terkoneksi dengan jaringan internet. Beberapa jump server mungkin membutuhjan sedikit akses internet jika peladen ini digunakan untuk mengelola stasiun-kerja atau peladen yang didefinisikan terletak diluar jaringan lokal organisasi.

Organisasi yang memiliki informasi kritikal mungkin memilih untuk menyimpan dan mengakses lewat air-gapped stasiun-kerja dan peladen yang tidak bisa diakses dari internet. Patches sekuriti dan data lainnya bisa ditransfer kepada dan dari air gapped stasiun-kerja dan peladen yang berdasarkan pada aturan transfer media dan proses.

Informasi Lebih Lanjut

Panduan lebih rinci tentang segmentasi jaringan dan pemisahan tersedia pada: http://www.asd.gov.au/publications/csocprotect/

Informasi khusus yang berkaitan untuk solusi mobilitas tersedia pada: http://www.asd.gov.au/publications/csocprotect/enterprise_mobility_bring_your_own_device_byod_ paper.htm

Kontrol ISM: 1346, 1181, 1182, 1385.

Leave a Reply

Your email address will not be published. Required fields are marked *