Konsep Dasar Untuk Keamanan Web Dan Web Service
Komputerdia.com , Keamanan atau security pada sebuah situs bisa dikatakan merupakan sesuatu hal yang sangat wajib hukumnya bagi para pelaku bisnis online menyerupai IM ataupun Online Store, pasalnya semua acara yang berkaitan dengan terusan data dan lain sebagainya sampai pada karenanya bisa menjadi materi terjadi pada terusan web tersebut.
Bayangkan jikalau keamanan yang anda gunakan pada web yang anda kelola sangat rentan, sudah bisa dipastikan apakah bisnis anda akan berjalan dengan lancar? tentunya tidak, mengingat persaingan dunia bisnis online semakin ketat tentunya akan ada banyak pihak yang akan melaksanakan segala sesuatu yang bisa mengangkat pamor usahanya tersebut termasuk dengan menimbunkan keberadaan bisnis anda.
Web Service memperlihatkan paradigma gres dalam mengimplementasikan sistem terdistribusi melalui Web dengan memakai standard protokol SOAP, WSDL dan UDDI yang berbasis XML. Dengan teknologi Web Service, konsep sistem terdistribusi yang biasanya dipakai pada sistem yang bersifat tertutup dan proprietary (DCOM, CORBA, RMI) sanggup diterapkan kedalam sistem yang bersifat terbuka (non-propriertary) berbasis Web.
Penerapan Web Service akan memudahkan proses integrasi dan kerja sama antar aplikasi pada lingkungan platform yang heterogen baik melalui jaringan Intranet maupun Internet, dengan biaya yang lebih murah dan dalam waktu yang relative lebih cepat. Namun demikian, masih banyak yang ragu untuk segera menerapkan Web Service, khususnya jikalau dipakai untuk mendukung transaksi bisnis melalui Internet (global).
Alasan utama yang menjadi perhatian ialah pada aspek keamanan dan kerentanan (vulnerability) yang terdapat pada teknologi Web Service. Sementara itu standard keamanan yang biasa dipakai untuk mengamankan aplikasi berbasis Web pada umumnya tidak cukup bisa untuk mengamankan transaksi Web Service. Pada makalah ini dibahas banyak sekali arsitektur keamanan dan spesifikasi standard keamananan untuk Web Service.
Penerapan Web Service akan memudahkan proses integrasi dan kerja sama antar aplikasi pada lingkungan platform yang heterogen baik melalui jaringan Intranet maupun Internet, dengan biaya yang lebih murah dan dalam waktu yang relative lebih cepat. Namun demikian, masih banyak yang ragu untuk segera menerapkan Web Service, khususnya jikalau dipakai untuk mendukung transaksi bisnis melalui Internet (global).
Alasan utama yang menjadi perhatian ialah pada aspek keamanan dan kerentanan (vulnerability) yang terdapat pada teknologi Web Service. Sementara itu standard keamanan yang biasa dipakai untuk mengamankan aplikasi berbasis Web pada umumnya tidak cukup bisa untuk mengamankan transaksi Web Service. Pada makalah ini dibahas banyak sekali arsitektur keamanan dan spesifikasi standard keamananan untuk Web Service.
Baca Juga Artikel Menarik Lainnya :
- Pengertian website dan jenis - jenis website
- Penyebab Putus Koneksi Internet Di Jaringan Komputer
- Pengertian Kabel Fiber Optik dan Bagian - Bagian Kabel Fiber Optik
- Cara Membuat Satu CPU Untuk Digunakan Banyak User Dalam Satu Jaringan
Teknologi keamanan yang biasa dipakai untuk mengatasi aspek keamanan pada sistem berbasis Web pada umumnya, menyerupai Secure socket Layer (SSL)/ Transport Secure Layer (TSL), tidak cukup memadai jikalau diterapkan pada system berbasis Web Service. Hal ini dikarenakan SSL/TLS menyediakan solusi kemanan dengan konteks point-to-point pada level transport layer.
Sementara karakteristik transaksi Web Service, membutuhkan pengamanan dalam konteks end-to-end pada level application layer. Teknologi Firewall yang menyediakan pengamanan pada level Network Layer juga tidak cukup memadai, alasannya ialah karakteristik transaksi Web Service yang memakai standard internet (HTTP, SMTP, FTP) akan dilewatkan oleh Firewall alasannya ialah dianggap Sebagai trafik Internet pada umumnya (firewall friendly).
Sementara karakteristik transaksi Web Service, membutuhkan pengamanan dalam konteks end-to-end pada level application layer. Teknologi Firewall yang menyediakan pengamanan pada level Network Layer juga tidak cukup memadai, alasannya ialah karakteristik transaksi Web Service yang memakai standard internet (HTTP, SMTP, FTP) akan dilewatkan oleh Firewall alasannya ialah dianggap Sebagai trafik Internet pada umumnya (firewall friendly).
Standar Pengamanan Web
XML signatures merupakan dokumen XML yang berisi isu mengenai tanda tangan digital. Tanda tangan digital sanggup dilakukan terhadap dokumen dengan tipe apapun, termasuk dokumen
XML. XML signatures sanggup ditambahkan pada dokumen XML yang ditandatangani ataupun sanggup berupa sebuah dokumen XML tersendiri.
Secara garis besar, struktur XML signatures ialah sebagaimana (dimana “?” menunjukan nol atau satu kemunculan, “+” menunjukan satu atau lebih kemunculan, dan “*” menunjukan nol atau lebih kemunculan) ditampilkan pada :
Kode XML
Salah satu laba penggunaan standar XML signature ialah sanggup dilakukannya penandatanganan sebuah dokumen XML oleh lebih dari satu pihak. Pihak tertentu hanya akan menandatangani elemen XML yang menjadi tanggung jawabnya.
XML Encryption
Pengamanan terhadap data yang dipertukarkan merupakan salah satu kebutuhan yang muncul pada proses pertukaran data. W3C telah merekomendasikan Enkripsi XML sebagai metode alternatif untuk pengamanan data dengan memakai format XML. Namun demikian, Enkripsi XML dirancang untuk sanggup diterapkan baik pada data XML maupun data non XML.
Implementasi Enkripsi XML memungkinkan penggabungan data yang telah dienkripsi dengan data yang tidak dienkripsi di dalam satu dokumen XML. Dengan demikian, proses enkripsi maupun dekripsi sanggup dilakukan hanya pada data yang memang perlu diamankan saja.
Enkripsi XML telah diimplementasikan baik pada level aplikasi maupun pada level parser. Pada level aplikasi, implementasi Enkripsi XML paling banyak dibentuk dengan memakai DOM, Document Object Model.
Sementara pada level parser, implementasi Enkripsi XML di antaranya dibentuk dengan memakai parser Xerces. Enkripsi XML secara umum sanggup dianggap sebagai proses transformasi dokumen XML yang belum terenkripsi ke dokumen XML yang sudah terenkripsi.
W3C telah merekomendasikan XSLT, Extensible Stylesheet Language Transformations, sebagai bahasa transformasi untuk dokumen XML. Dengan demikian, maka XSLT sebagai bahasa transformasi untuk XML sanggup dipakai untuk mengimplementasikan Enkripsi XML.
W3C telah merekomendasikan XSLT, Extensible Stylesheet Language Transformations, sebagai bahasa transformasi untuk dokumen XML. Dengan demikian, maka XSLT sebagai bahasa transformasi untuk XML sanggup dipakai untuk mengimplementasikan Enkripsi XML.
Xml Key Management Specification
XML key management specification (XMKS) merupakan sebuah spesifikasi infrastruktur yang dipakai untuk pengamanan transaksi berbasis XML. Pada web services dipakai format komunikasi data berbasis XML dan untuk keamanan data-data tersebut dipakai teknik kriptografi kunci-publik. Pengelolaan terhadap kunci-publik ditentukan dengan adanya public-key infrastructure (PKI).
XKMS juga merupakan bentuk pengembangan berikutnya dari PKI yang ada ketika ini (PKIX) dan juga melaksanakan perubahan standar PKI sebagai salah satu bentuk web services. Dengan demikian XKMS sanggup melaksanakan proses pendaftaran pasangan kunci-publik (private-key dan public-key), penentuan lokasi penyimpanan kunci-publik, validasi kunci-publik, pencabutan (revoke) kuncipublik, dan pemulihan (recover) kuncipublik.
Oleh alasannya ialah itu, keseluruhan struktur PKI akan dikembangkan ke dalam lingkungan berbasis XML. XML Key Management Specification yang diterapkan sebagai web service akan mengurangi bentuk “ketergantungan” terhadap fungsi PKI yang terintegrasi dalam aplikasi.
Sebelumnya penyedia PKI haruslah berbagi fungsi-fungsi khusus yang diterapkan pada produk aplikasi yang akan dipakai sedangkan dengan adanya XKMS sebagai web service, pada pengembangan produk aplikasi cukup dibentuk fungsi untuk memilih pengguna (client) yang mengakses fungsi/layanan yang disediakan oleh XKMS. Fungsi-fungsi pada XMKS meliputi:
Oleh alasannya ialah itu, keseluruhan struktur PKI akan dikembangkan ke dalam lingkungan berbasis XML. XML Key Management Specification yang diterapkan sebagai web service akan mengurangi bentuk “ketergantungan” terhadap fungsi PKI yang terintegrasi dalam aplikasi.
Sebelumnya penyedia PKI haruslah berbagi fungsi-fungsi khusus yang diterapkan pada produk aplikasi yang akan dipakai sedangkan dengan adanya XKMS sebagai web service, pada pengembangan produk aplikasi cukup dibentuk fungsi untuk memilih pengguna (client) yang mengakses fungsi/layanan yang disediakan oleh XKMS. Fungsi-fungsi pada XMKS meliputi:
- Registration (registrasi). Layanan pada XKMS sanggup dipakai untuk mendaftarkan (registrasi) pasangan kunci dengan memakai fungsi “register”. Pembangkitan pasangan kunci-publik sanggup dilakukan oleh client ataupun layanan. Pada ketika kunci-kunci telah terdaftarkan, layanan XKMS akan melaksanakan pengelolaan pencabutan ataupun pemulihan kunci-kunci, yang dibangkitkan oleh server ataupun client.
- Locating. Pada XKMS terdapat fungsi yang dipakai untuk mendapat kembali kunci-publik yang terdaftar.
- Validation (validasi). Fungsi validasi dipakai untuk memastikan bahwa kunci-publik yang telah didaftarkan dengan layanan XKMS valid dan tidak kadaluarsa ataupun telah dicabut.
Web Science Security
WS-Security atau juga dikenal sebagai Web Service Security Core Language (WSS-Core) merupakan spesifikasi keamanan Web Service yang mendefinisikan mekanisme pengamanan pada level pesan SOAP untuk menjamin message integrity & confidentiality.
Standard WS-Security ketika ini dikembangkan secara resmi oleh OASIS menurut spesifikasi yang diusulkan oleh Microsoft, IBM, dan VerySign pada 11 April 2002. Selanjutnya, OASIS melalui Web Service Security Technical Committee (WSS) melanjutkan pengembangan WS-Security dengan tetapkan beberapa spesifikasi teknis terpisah, menyerupai Core Specification, SAML Profile, XMrL Profile, X.509 Profile, dan Karberos Profile.
Produk WSS untuk Core Specification (WSS-Core) ialah WSS: Soap Message Security. Spesifikasi lain yang merupakan belahan dari Core Specification ini ialah WSS: User Name Token Profile dan WSS: X.509 Certificate Token Profile.
Secrecy berafiliasi dengan hak terusan untuk membaca data ,informasi dan suatu sistem computer. Dalam hal ini suatu sistem komputer sanggup dikatakan kondusif jikalau suatu data atau isu hanya sanggup dibaca oleh pihak yang telah diberi wewenang secara legal.
Integrity berafiliasi dengan hak terusan untuk mengubah data atau isu dari suatu sistem komputer. Dalam hal ini suatu sistem komputer sanggup dikatakan kondusif jikalau suatu data atau isu hanya sanggup diubah oleh pihak yang telah diberi hak.
Contoh : e-mail di intercept di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju.dengan cara virus, trojan horse, atau pemakai lain yang mengubah isu tanpa ijin, “man in the middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.
Availability berafiliasi dengan ketersediaan data atau isu pada ketika yang dibutuhkan. Dalam hal ini suatu sistem komputer sanggup dikatakan kondusif jikalau suatu data atau isu yang terdapat pada sistem komputer sanggup diakses dan dimanfaatkan oleh pihak yang berhak.
Aspek ini berafiliasi dengan metoda untuk menyatakan bahwa isu betul- betul asli, orang yang mengakses dan memperlihatkan isu ialah benar orang yang dimaksud, atau server yang kita hubungi ialah server yang asli.
Aspek kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana user berkomunikasi dengan sistem. Akses kontrol melindungi sistem dari terusan yang tidak berhak dan umumnya memilih tingkat otorisasi sehabis mekanisme otentikasi berhasil dilengkapi.
Produk WSS untuk Core Specification (WSS-Core) ialah WSS: Soap Message Security. Spesifikasi lain yang merupakan belahan dari Core Specification ini ialah WSS: User Name Token Profile dan WSS: X.509 Certificate Token Profile.
Prinsip Dasar Keamanan Jaringan
- Kerahasiaan (secrecy)
Secrecy berafiliasi dengan hak terusan untuk membaca data ,informasi dan suatu sistem computer. Dalam hal ini suatu sistem komputer sanggup dikatakan kondusif jikalau suatu data atau isu hanya sanggup dibaca oleh pihak yang telah diberi wewenang secara legal.
- Integritas (integrity)
Integrity berafiliasi dengan hak terusan untuk mengubah data atau isu dari suatu sistem komputer. Dalam hal ini suatu sistem komputer sanggup dikatakan kondusif jikalau suatu data atau isu hanya sanggup diubah oleh pihak yang telah diberi hak.
Contoh : e-mail di intercept di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju.dengan cara virus, trojan horse, atau pemakai lain yang mengubah isu tanpa ijin, “man in the middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.
- Ketersediaan (availability)
Availability berafiliasi dengan ketersediaan data atau isu pada ketika yang dibutuhkan. Dalam hal ini suatu sistem komputer sanggup dikatakan kondusif jikalau suatu data atau isu yang terdapat pada sistem komputer sanggup diakses dan dimanfaatkan oleh pihak yang berhak.
- Authentication
Aspek ini berafiliasi dengan metoda untuk menyatakan bahwa isu betul- betul asli, orang yang mengakses dan memperlihatkan isu ialah benar orang yang dimaksud, atau server yang kita hubungi ialah server yang asli.
- Akses Kontrol
Aspek kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana user berkomunikasi dengan sistem. Akses kontrol melindungi sistem dari terusan yang tidak berhak dan umumnya memilih tingkat otorisasi sehabis mekanisme otentikasi berhasil dilengkapi.
