Hasil Pencarian  ::  Simpan CSV :: Kembali

"Pengadopsian Kubernetes sebagai bagian dari sistem terdistribusi meningkatkan kompleksitas pengelolaan sistem sehingga dapat membuka peluang ancaman keamanan. Model keamanan Zero Trust pun dikembangkan untuk menangani masalah keamanan akibat peningkatan kompleksitas tersebut. Berfokus pada perlindungan resources, model keamanan ini membatasi kerusakan yang dapat ditimbulkan penyerang dengan memberikan akses terbatas ke setiap pengguna. Pada Kubernetes, penerapan Zero Trust Architecture dapat dibantu dengan memanfaatkan fitur-fitur keamanan milik service mesh. Namun, penerapan Zero Trust Architecture pada Kubernetes dengan menggunakan service mesh masih belum dapat menangani ancaman internal yang disebabkan oleh penyerang yang menyalahgunakan privileges-nya sebagai Cluster Administrator. Ancaman internal tersebut diidentifikasi dan kemudian direproduksi pada sistem acuan penelitian ini. Hasil reproduksi menunjukkan bahwa sistem acuan belum terlindungi dari ancaman internal. Oleh karena itu, penanganan terhadap ancaman internal tersebut dilakukan dengan mereproduksi sistem solusi berupa validasi signature terhadap konfigurasi manifest atas pembuatan dan modifikasi resources pada Kubernetes melalui admission controller. Sistem solusi kemudian diuji dengan dilakukannya reproduksi ancaman internal tersebut. Berdasarkan hasil pengujian, ancaman internal telah berhasil ditangani oleh sistem solusi.

---

The adoption of Kubernetes as part of a distributed system increases the complexity of managing the system, which can lead to security threats. The Zero Trust security model was developed to address the security concerns resulting from this increased complexity. Focusing on resource protection, this security model limits the damage an attacker can cause by granting limited access to each user. In Kubernetes, implementing Zero Trust Architecture can be aided by utilizing the security features of service mesh. However, the implementation of Zero Trust Architecture on Kubernetes using service mesh is still unable to handle internal threats caused by attackers who abuse their privileges as Cluster Administrators. These internal threats are identified and then reproduced on the baseline system of this research. The reproduction results show that the baseline system is not yet protected from the internal threats. Therefore, the internal threats are addressed by reproducing the solution system in the form of signature validation of the manifest configuration for the creation and modification of resources on Kubernetes through the admission controller. The solution system is then tested by reproducing the internal threats. Based on the test results, the internal threats have been successfully handled by the solution system."

"Pengadopsian Kubernetes sebagai bagian dari sistem terdistribusi meningkatkan kompleksitas pengelolaan sistem sehingga dapat membuka peluang ancaman keamanan. Model keamanan Zero Trust pun dikembangkan untuk menangani masalah keamanan akibat peningkatan kompleksitas tersebut. Berfokus pada perlindungan resources, model keamanan ini membatasi kerusakan yang dapat ditimbulkan penyerang dengan memberikan akses terbatas ke setiap pengguna. Pada Kubernetes, penerapan Zero Trust Architecture dapat dibantu dengan memanfaatkan fitur-fitur keamanan milik service mesh. Namun, penerapan Zero Trust Architecture pada Kubernetes dengan menggunakan service mesh masih belum dapat menangani ancaman internal yang disebabkan oleh penyerang yang menyalahgunakan privileges-nya sebagai Cluster Administrator. Ancaman internal tersebut diidentifikasi dan kemudian direproduksi pada sistem acuan penelitian ini. Hasil reproduksi menunjukkan bahwa sistem acuan belum terlindungi dari ancaman internal. Oleh karena itu, penanganan terhadap ancaman internal tersebut dilakukan dengan mereproduksi sistem solusi berupa validasi signature terhadap konfigurasi manifest atas pembuatan dan modifikasi resources pada Kubernetes melalui admission controller. Sistem solusi kemudian diuji dengan dilakukannya reproduksi ancaman internal tersebut. Berdasarkan hasil pengujian, ancaman internal telah berhasil ditangani oleh sistem solusi.

---

The adoption of Kubernetes as part of a distributed system increases the complexity of managing the system, which can lead to security threats. The Zero Trust security model was developed to address the security concerns resulting from this increased complexity. Focusing on resource protection, this security model limits the damage an attacker can cause by granting limited access to each user. In Kubernetes, implementing Zero Trust Architecture can be aided by utilizing the security features of service mesh. However, the implementation of Zero Trust Architecture on Kubernetes using service mesh is still unable to handle internal threats caused by attackers who abuse their privileges as Cluster Administrators. These internal threats are identified and then reproduced on the baseline system of this research. The reproduction results show that the baseline system is not yet protected from the internal threats. Therefore, the internal threats are addressed by reproducing the solution system in the form of signature validation of the manifest configuration for the creation and modification of resources on Kubernetes through the admission controller. The solution system is then tested by reproducing the internal threats. Based on the test results, the internal threats have been successfully handled by the solution system."

"Aplikasi berbasis web dengan kemudahan fitur yang ditawarkan bagi user membuat perusahaan-perusahaan menggunakannya sebagai aplikasi penunjang bisnis mereka. Namun dibalik kemudahan itu, aplikasi ini memiliki celah keamanan berupa suatu kerawanan yang dapat dieksploitasi apabila tidak ditangani dengan baik. Faktor keamanan suatu aplikasi harus diperhatikan tidak hanya saat aplikasi tersebut beroperasi, tapi sudah dimulai sejak aplikasi tersebut masih dalam proses pengembangan. Tidak adanya pedoman keamanan yang dapat dijadikan acuan dalam proses pengembangan aplikasi dapat berakibat pada kurangnya kualitas keamanan aplikasi yang akan dihasilkan. Penelitian ini berusaha menunjukkan suatu proses perancangan pedoman keamanan pengembangan aplikasi berbasis web studi kasus pada perusahaan industri telekomunikasi yang memiliki strategi mengembangkan sendiri aplikasi-aplikasi berbasis web sebagai penunjang bisnisnya. Proses diawali dengan kajian risiko keamanan aplikasi berbasis web dalam proses pengembangan aplikasi yang sudah ada dalam perusahaan tersebut. Dilanjutkan dengan pemilihan kontrol-kontrol untuk mengendalikan risiko hasil kajian tadi. Kajian risiko menggunakan kerangka kerja yang sudah dibakukan di perusahaan dan dikombinasikan dengan kerangka kerja kajian risiko dan kontrol standar dari OWASP dan NIST. Hasil yang diharapkan berupa pedoman keamanan pengembangan aplikasi berbasis web yang sesuai untuk lingkungan studi kasus tersebut.

---

Web base application with the rich fitur that can be offered to the user has motivate many companies to use it as a business application platform. But behind the simplicity, this application has a security vulnerability that can be exploited if not handled properly. Safety factor of the application must be considered not only when the application is in operation, but has started since the application is still under development. The absence of security guidelines that can be used as a reference in the application development process can result in a lack of quality security application that will be generated.

This study attempted to show a security guideline development process of designing a web-based application on a case study of the telecommunication industry company who have their own strategies to develop web-based applications to support its business. The process begins with the assessment of security risks in web based application development process existing applications within the enterprise. Followed by the selection of controls to control risk assessment results earlier.

Using a risk assessment framework that has been standardized across the enterprise and combined with the framework of risk assessment and control of the OWASP and NIST standards. Results are expected in the form of security guideline fort web-based application development environment in the case study."