Mengamankan Instance
Mengamankan instance cloud Anda sangat penting untuk melindungi data sensitif dan menjaga integritas sistem. Baik Anda melakukan deploy di Ubuntu maupun Windows, mengikuti praktik hardening yang komprehensif dapat secara drastis mengurangi risiko terhadap potensi serangan. Panduan ini merinci langkah-langkah penting untuk mengunci virtual machine (VM) Anda dengan jelas dan presisi.
- Ubuntu
- Windows
Mengamankan Server Ubuntu
1. Autentikasi SSH dengan Kunci
Nonaktifkan login SSH berbasis kata sandi untuk mencegah serangan brute-force.
Langkah-langkah:
- Buat pasangan kunci:
ssh-keygen -t rsa -b 4096 -C "your@email.com"
- Salin kunci publik ke VM Anda:
ssh-copy-id username@vm-ip-address
- Nonaktifkan login dengan kata sandi di
/etc/ssh/sshd_config:
PasswordAuthentication no
PermitRootLogin no
- Mulai ulang SSH:
sudo systemctl restart ssh
2. Konfigurasi Firewall UFW
Kendalikan lalu lintas jaringan dengan kebijakan default yang ketat.
sudo apt install ufw
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow OpenSSH
sudo ufw enable
3. Pembaruan dan Patch Keamanan Berkala
Terapkan pembaruan keamanan secara otomatis.
sudo apt update && sudo apt upgrade -y
sudo apt install unattended-upgrades
sudo dpkg-reconfigure unattended-upgrades
4. Perlindungan Fail2Ban
Secara otomatis memblokir IP yang gagal login berulang kali.
sudo apt install fail2ban
sudo systemctl enable fail2ban --now
5. Prinsip Least Privilege
Hindari menggunakan root untuk aktivitas harian.
adduser youruser
usermod -aG sudo youruser
6. Audit Layanan
Nonaktifkan layanan yang tidak diperlukan untuk mengurangi permukaan serangan.
sudo ss -tulnp
sudo systemctl disable --now unwanted-service
7. Pemantauan Log
Pasang alat analisis log seperti Logwatch.
sudo apt install logwatch
Mengamankan Server Windows
1. Amankan Akun Administrator
Ganti kata sandi default dan gunakan kredensial yang kompleks.
net user Administrator "StrongPassw0rd!"
2. Konfigurasi Windows Firewall
Pastikan hanya lalu lintas yang dibutuhkan yang diizinkan.
- Buka pengaturan Windows Defender Firewall
- Buat aturan inbound hanya untuk port yang diperlukan (misalnya, 3389 untuk RDP)
3. Pembaruan Sistem
Aktifkan pembaruan otomatis untuk patch keamanan.
- Buka Settings > Update & Security > Windows Update
- Aktifkan instalasi terjadwal
4. Perkuat Remote Desktop
Jika RDP dibutuhkan:
- Aktifkan Network Level Authentication
- Atur kebijakan penguncian akun melalui
secpol.msc - Batasi akses RDP hanya ke IP tepercaya
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections -Value 0
5. Pemasangan Antivirus
Gunakan Windows Defender atau solusi pihak ketiga terpercaya.
- Aktifkan pemindaian rutin
- Aktifkan perlindungan waktu nyata
6. Kebijakan Penguncian Akun
- Buka
secpol.msc - Atur ambang batas penguncian, durasi, dan pengaturan ulang di Account Lockout Policy
7. Logging dan Audit
Pantau aktivitas melalui Event Viewer dan aktifkan peringatan untuk perilaku mencurigakan.
Praktik Hardening Tambahan (Semua OS)
Keamanan Basis Data
- Gunakan koneksi terenkripsi (SSL/TLS)
- Hapus pengguna default/tes
- Terapkan prinsip least privilege
- Aktifkan logging dan monitoring
Hardening Web Server
- Gunakan HTTPS dengan sertifikat SSL yang valid
- Nonaktifkan listing direktori dan header server
- Terapkan pembatasan laju dan security header (CSP, HSTS)
Integrasi SIEM
- Pasang pengumpul log terpusat (Filebeat, Wazuh)
- Gunakan aturan peringatan untuk login gagal, eskalasi hak istimewa, perubahan konfigurasi
Backup & Pemulihan Bencana
- Jadwalkan backup terenkripsi secara rutin
- Simpan di lokasi terpisah (misalnya S3, GCS, atau drive eksternal)
- Lakukan pengujian pemulihan secara berkala
Kontrol Akses VPN
- Pasang VPN seperti WireGuard atau OpenVPN
- Batasi akses SSH/RDP hanya melalui jalur VPN
- Nonaktifkan akses langsung ke IP publik untuk layanan sensitif