PERTEMUAN 3 | ACCESS CONTROL

     Access Control, yah pada kesempatan kali ini kita akan membahas tentang access controll, access control ini adalah kumpulan dari metode dan komponen yang dipergunakan untuk melindungi aset informasi. Access control memberikan kemampuan untuk mendikte mana informasi yang bisa dilihat atau dimodifikasi oleh user atau pengguna.

Namun dalam aspek Access Control, ada hal yang harus kita perisiapin dulu wak geng, apa saja itu ?

1. Bagaimana cara membedakan antara informasi yang bersifat rahasia dan mana yang tidak.
2. Metode yang diambil untuk mengidentifikasi user yang meminta akses ke informasi rahasia.
3. Memastikan bahwa user yang di beri akses, berhak mengakses informasi tersebut.

LEAST PRIVILEGE

    Least Privilege adalah sebuah subyek yang diberi akses yang sesuai dengan keperluannya saja tidak lebih. dengan adanya Least Privilege, ini membantu menghindari authorization creep, sebuah kondisi dimana sebuah subjek memiliki hak akses lebih dari apa yang dia butuhkan. Contohnya :

1. Mahasiswa = Hak akses yang diberikan misalnya melihat nilai, Memasukan KRS.\
2. Dosen = Hak akses yang diberikan misalnya memasukkan nilai, melihat matakuliah dan daftar bimbingan mahasiswa
3. Biskom = memiliki tanggung jawab untuk menjaga semua operasi yang melibatkan database berjalan lancar tanpa gangguan.

    Jadi bisa dibilang, Least Privilege ini adalah pemberian akses untuk sebuah subyek atau entitas namun diberi batasan sesuai kepentingan subyek tersebut, tidak kurang dan tidak lebih.   

    Nah kita kan tadi bahas tuh subjek, objek dan lain lain, subjek itu apa sih? subjek disini merupakan sebuah entitas yang aktif karena dia yang menginisiasi sebuah permintaan akses, objek disini adalah bagian pasifnya dan Kebijakan Kontrol Akses adalah sebuah kebijakan yang mengatur hak subjek untuk mengelola atau mengakses objek sesuai ijin yang sudah diberikan.

ACCESS CONTROL MODELS

Access Control Models dibagi atas 3 :

1. Mandatory Access Control (MAC), ialah kontrol akses didasarkan pada sistem pelabelan keamanan. pengguna subyek memiliki izin keamanan dan obyek memiliki label keamanan yang berisi klasifikasi data. Model ini digunakan dalam lingkungan dimana klasifikasi informasi dan kerahasiaan sangat penting. Berikut klasifikasi data komersil : 

    Nah, apa ajasih goal dari MAC ini ? tentunya MAC ini memiliki tujuan untuk menjaga kerahasiaan dan integritas informasi, mencegah beberapa jenis serangan troja, dan mencegah pengguna dapat mengubah atribut keamanan.

2. Directional Access Control, ialah akses kontrol yang mempergunakan identitas dari subjek untuk menentukan apakah permintaan akses tersebut akan dipenuhi atau ditolak. Model ini adalah yang paling umum digunakan pada berbagai OS. Dalam Directional Access Control, setiap objek memiliki permission, yang menentukan user atau grup yang bisa melakukan akses terhadap objek. DAC termasuk Identity-based access control dan Access Control List (ACL). Identity-based access control memiliki keputusan untuk akses terhadap objek berdasarkan userid atau keanggotaan grup dari user yang bersangkutan dan pemilik dari objek menentukan user atau grup yang mana bisa melakukan akses terhadap objek. Adapun ACL mengijinkan grup dari subyek untuk dikontrol bersama kepada objek tertentu

3. Non-Discretionary Access Control, menggunakan role dari subyek atau kegiatan yang di asssigned kepada sebuag subyek, untuk menerima atau menolak akses, ini cocok dipakai untuk kasus high turnover atau reassignment. salah satu variasi  dari  Non-Discretionary Access Control ialah Lattice-based Access Control dimana dalam variasi ini subyek dan objek memiliki pasang batasan. Batasan akses ini yang mendefinisikan peraturan dan kondisi yang mengijinkan mengakses sebuah objek.

ACCESS CONTROL ADMINISTRATION

Merupakan sebuah step setelah desain akses kontrol yang bisa di implementasikan secara centralized atau decentralized tergantung kebutuhan dari organisasi dan sensitivitas informasi. Nah seperti apa centralized dan decentralized ini ? berikut penjelasannya :\

1. Centralized Access Control, pendekatan yang mudah karena objek dapat dipelihara pada lokasi yang tunggal. Namun memiliki kelemahan yaitu Single point failure dan Masalah performance. Contohnya, RADIUS (Remote Authentication Dial-In User Service) & CHAP (Chalenge Handshake Authentication Protocol).

2. Decentralized Access Control, decentralized lebih stabil karena meletakkan tanggung jawab dari lebih dari dekat terhadap objek dan diimplementasikan secara security domain. Apa itu Security Domain ? Security Domain adalah bagian dari sebuah kepercayaan, atau koleksi dari objek dan subyek yang mendefinisikan access rule dan permission.

ACCOUNTABILITY

Akuntabilitas berkaitan erat dengan instrumen untuk kegiatan kontrol terutama dalam hal pencapaian hasil dengan membuat log dari aktivitas pengontrolan atau sistem audit yang membantu administrasi. Log Aktifitas ini memudahkan administrator sistem untuk memonitor siapa saja yang memakai sistem dan apa yang dilakukannya.

MODEL - MODEL AKSES KONTROL

Model ini memungkingkan untuk memilah kebijakan keamanan yang kompleks menjadi langkah keamanan yang lebih sederhana dan terkontrol.

1. State Machine Model, sering dipakai dalam reallife entity ketika state yang spesifik dan transisinya ada dan dimengerti, diantaranya :

            1. BELL-LAPADULA

            2. BIBA

            3. CLARK-WILSON

2. Model Noninterference, menjamin bahwa perubahan pada suatu tingakatan keamanan tidak mengorbankan level keamanan lainnya dan mempengaruhi suatu objek dalam konteks lain, dan menjga integritasnya dengan menutup kemungkinan modifikasi pada tingkat eamanan tertentu.

    Itulah materi tentang Access Control, semoga bisa menjadi bahan bacaan dan bahan belajar yang bermanfaat ya. Sampai ketemu di blog-blog selanjutnya :).