Oke mungkin teman-teman dan sobat kamsib udh sering nih bahas segala sesuatu tentang offensive security/hacking. Sekarang kita akan melipir sedikit ke pembahasan deffensive security beserta beberapa konsep di dalamnya.
Nah mungkin artikel kali ini akan sedikit demi sedikit memberikan pencerahan berupa konseptual seperti, apa itu secret management dan bagaimana pengertian privileged access management. Dimana di tahun 2023, kedua utilitas ini sudah umum digunakan. Bahkan mulai dari programmer, sysadmin, devops, dan QA pun sudah mulai familiar akan kehadiran secret management dan privileged access management (PAM).
Kenapa Ada Utilitas Seperti Itu?
Belakangan ini seperti yang kita tahu, kita perlahan sudah meninggalkan aristektur dan kebiasaan pada teknologi terdahulu. Menyambut teknologi terbaharu dan mengikuti arus dan teknologi yang ada saat ini. Lalu bagaimana pemikiran lama yang ada pada jaman dahulu? Pada jaman dahulu banyak orang yang berpikir bagaimana membangun pertahanan sekuat-kuatnya dengan membangun tembok sekuat dan setinggi mungkin. Namun setelah perkembangan jaman terutama dibidang kemanan informasi, kita mulai paham bahwasanya menjaga suatu keamanan tidak hanya dilakukan dari luar saja. Lalu yang sebenarnya kita butuhkan adalah pertahanan yang kuat dari dalam dan luar serta dibatasi oleh setiap segmentasi. Maka kalau boleh penulis gambarkan seperti tenda-tenda yang ada di area kemah, yang di setiap tendanya dijaga oleh 2-3 orang. Dari gambaran tersebut penulis rasa lebih baik dibandng memiliki tembok bata yang tinggi-tinggi yang melindungi serangan dari luar tapi tanpa penjagaan di dalamnya. Atau sekali lagi coba bayangkan bagaimana jika ada 10 raja dalam suatu kerajaan, bahkan tidak memiliki menteri yang mengawasi kebijakan dan regulasi di kerjaaan tersebut, aneh bukan?
Baca Juga:
1. Menggali Kekuatan Informasi Terbuka! Menjelajahi OSINT
2. Menjelajahi Ragam Jenis Secret di HashiCorp Vault: Keamanan Data yang Tak TertandingiPengertian
1. Apa itu Secret Management
Sesuai dengan namanya secret management yang dibahasa indonesiakan artinya manajemen rahasia. Secara definisi secret management merupakan utilitas atau alat yang diperuntukkan untuk mengatur dan me-manange secret-secret (password, token, API key, client id, ssh password, dan metode authentikasi lainnya) yang ada dalam secret storage agar tersentralisasi sehingga dapat dipakai lebih mudah dan aman serta dijamin kerahasiaannya. Dan keuntungan dari penggunaan secret storage adalah kita tidak perlu lagi meng-embed token, kredensial, password, dll di .env; tidak perlu lagi mengembed nya ke dalam android apps; dan yang paling pentingnya kita tidak perlu lagi untuk menyimpan user beserta password dari database server ke dalam server lain. Banyak sekali utilitas yang menyediakan kapabilitas secret management, seperti Hashicorp Vault, Spectral Secret Scanner, AWS Secrets Manager, Cloud KMS, Microsoft Azure Key Vault, Keywhiz, dll.
Jika teman-teman atau sobat kamsib masih penasaran merujuk ke artikel lainnya yang juga saya tulis dan membahas lengkap terkait secret management, yaitu Hashicorp Vault.
Apa Itu Privileged Access Management
Bedasarkan magnaglobal.id PAM atau Privileged Access Management merupakan utilitas yang mengelola akses user terhadap suatu prangkat, mulai dari mematikan sistem, memuat driver perangkat, mengkonfigurasi jaringan atau sistem, menyediakan dan mengkonfigurasi akun dan instant cloud, serta hak istimewa lainnya. Coba sekarang bayangkan ada 15 akun yang memiliki akses sudo dan sewaktu-waktu mereka bisa mengubah akses dan konfigurasi sistem di dalamnya, bahaya bukan? Maka dari itu PAM menjadi utilitas yang menjadi solusi alternatif untuk mengatur setiap user. PAM sendiri dapat mengatur mulai dari generate secure password, expired password, akses sudo, remote access, dan masih banyak lainnya. Karena hal itulah PAM atau privileged access control sering digunakan untuk mengatur akses ssh baik dari password hingga ssh key-nya. Dan fakta menarik soal PAM sendiri adalah dia merupakan utilitas yang wajib ada di dunia fintech, perbankan, dan instrumen perdagangan atau keuangan lainnya karena menyangkut keamanan data nasabah. Bahkan dalam salah satu ayat dan pasal Surat Edaran Otoritas Jasa Keuangan (SEOJK) penggunaan PAM menjadi salah satu anjuran yang setidaknya digunakan karena mengambil peran penting dalam implementasi manajemen resiko (risk management).
Penutup
Singkat saja sekian artikel dibuat dengan beberapa referensi yang sekiranya dapat menjadi bahan acuan teman-teman. Semoga artikel kali ini dapat menjadi gerbang pembuka dalam dunia defensive security kedepannya, nantikan penulis di artikel selanjutnya, atau jika kepo boleh mampir ke blog pribadi penulis di www.cybertechnologyspace.my.id.
