TSplus Advanced Security Logo

Apakah Anda ingin melihat situs ini dalam bahasa lain?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Ubah bahasa
Daftar Isi

Pengantar

Akses browser yang aman ke aplikasi pribadi memungkinkan karyawan, kontraktor, dan mitra mengakses aplikasi bisnis dari mana saja tanpa membuka seluruh jaringan. Bagi tim TI SMB, tantangannya adalah menyeimbangkan kenyamanan dengan perlindungan. Artikel ini menjelaskan cara mengurangi risiko akses jarak jauh melalui hak akses minimum, otentikasi yang lebih kuat, dan aturan koneksi yang terkontrol.

Apa itu Akses Browser Aman ke Aplikasi Pribadi?

Akses browser yang aman ke aplikasi pribadi memungkinkan pengguna yang berwenang untuk membuka aplikasi bisnis internal melalui browser web. Alih-alih terhubung ke seluruh jaringan melalui jaringan pribadi virtual, atau VPN, pengguna hanya mengakses aplikasi yang ditugaskan kepada mereka.

Aplikasi pribadi dapat berupa sistem perencanaan sumber daya perusahaan, perangkat lunak akuntansi, basis data pelanggan, portal internal, konsol admin, aplikasi Windows lama atau Protokol Desktop Jarak Jauh RDP, aplikasi. Aplikasi ini bersifat pribadi karena seharusnya tidak tersedia langsung di Internet publik.

Prinsip keamanan itu sederhana: akses browser harus menyediakan aplikasi, bukan seluruh jaringan. Ini mendukung hak akses minimum, di mana pengguna menerima akses yang diperlukan untuk peran mereka dan tidak lebih.

Akses browser yang aman juga harus melindungi apa yang ada di balik halaman login. Sesi Windows, file, kredensial, dan aplikasi bisnis tetap menjadi target yang berharga, jadi lingkungan server memerlukan kontrol keamanan di luar autentikasi sederhana.

Mengapa Akses Hanya Melalui VPN Dapat Menimbulkan Risiko yang Tidak Perlu?

VPN tetap berguna bagi administrator dan pengguna teknis yang memerlukan akses tingkat jaringan yang luas. VPN membuat terowongan terenkripsi ke dalam jaringan pribadi dan dapat efektif jika dikonfigurasi dengan benar.

Namun, akses hanya melalui VPN dapat berlebihan ketika seorang pengguna membutuhkan satu aplikasi atau sekelompok kecil sumber daya bisnis. Dalam hal ini, VPN dapat meningkatkan visibilitas jaringan, pekerjaan dukungan endpoint, dan kemungkinan dampak dari akun yang terkompromi.

NIST SP 800-46 Rev. 2 menjelaskan bahwa program keamanan akses jarak jauh harus mempertimbangkan telework, akses jarak jauh, dan skenario bawa perangkat sendiri, termasuk kebijakan keamanan dan kontrol teknologi. Ini penting karena akses aplikasi pribadi sering melibatkan pengguna eksternal, perangkat yang tidak dikelola, dan koneksi dari jaringan di luar kendali organisasi.

Untuk bisnis kecil dan menengah, kompleksitas VPN dapat menjadi masalah operasional harian. Kontraktor mungkin memerlukan akses sementara. Pengguna mungkin bekerja dari perangkat pribadi. Tim TI mungkin menghabiskan terlalu banyak waktu untuk mengelola klien daripada mengurangi risiko.

Akses browser yang aman ke aplikasi pribadi menawarkan model yang lebih terfokus. Organisasi menerbitkan aplikasi tertentu, mengontrol siapa yang dapat terhubung, dan melindungi infrastruktur tempat aplikasi tersebut berjalan.

Apa yang Membuat Akses Browser Aman?

Akses browser tidak secara otomatis aman. Portal web, halaman login, atau aplikasi yang dipublikasikan masih dapat diserang jika terpapar tanpa kontrol yang kuat.

Akses browser yang aman bergantung pada tiga lapisan: identitas, ruang aplikasi, dan perlindungan infrastruktur. Setiap lapisan mengurangi bagian yang berbeda dari risiko akses jarak jauh.

Identitas dan otentikasi

Kontrol identitas menentukan siapa yang diizinkan untuk terhubung. Organisasi harus menggunakan kebijakan kata sandi yang kuat, otentikasi multi-faktor, atau MFA, dan aturan penguncian akun untuk titik akses yang terpapar.

Untuk lingkungan berbasis RDP, Autentikasi Tingkat Jaringan, atau NLA, juga penting. NLA mengautentikasi pengguna sebelum sesi RDP penuh dibuat, yang membantu mengurangi paparan sumber daya server yang tidak perlu.

Kontrol akses tingkat aplikasi

Kontrol akses tingkat aplikasi mendefinisikan apa yang dapat diakses oleh setiap pengguna setelah otentikasi. Ini adalah perbedaan antara "pengguna dapat membuka aplikasi akuntansi" dan "pengguna dapat menjelajahi server."

Akses browser yang aman harus menetapkan aplikasi berdasarkan pengguna atau grup. Tim keuangan, akuntan eksternal, kontraktor, dan administrator tidak boleh menerima akses yang sama secara default. Ini mendukung sebuah praktik. Zero Trust untuk akses jarak jauh SMB model, di mana setiap pengguna, perangkat, dan sesi diverifikasi sebelum akses diizinkan.

Perlindungan server dan data

Akses browser yang aman harus mencakup keamanan canggih kontrol seperti pertahanan terhadap serangan brute-force, penyaringan geografis, pembatasan jam kerja, kontrol izin, perlindungan ransomware, peringatan, dan log keamanan. Tanpa lapisan-lapisan ini, browser hanya menjadi permukaan akses jarak jauh yang terpapar lainnya.

Akses browser yang aman harus mencakup pertahanan terhadap serangan brute-force, penyaringan geografis, pembatasan jam kerja, kontrol izin, perlindungan terhadap ransomware, peringatan, dan log keamanan. Tanpa lapisan-lapisan ini, browser hanya menjadi permukaan akses jarak jauh yang terbuka.

Apa Praktik Terbaik untuk Akses Browser yang Aman ke Aplikasi Pribadi?

Strategi akses browser yang aman harus mengurangi paparan sebelum, selama, dan setelah setiap koneksi. Praktik berikut membantu tim TI melindungi aplikasi pribadi tanpa menciptakan kompleksitas yang tidak perlu.

Hanya terbitkan aplikasi yang dibutuhkan pengguna

Penerbitan aplikasi harus dimulai dengan pemetaan peran. Setiap pengguna atau grup harus menerima akses hanya ke aplikasi yang diperlukan untuk pekerjaan sehari-hari.

Misalnya, seorang akuntan eksternal mungkin memerlukan aplikasi akuntansi tetapi tidak memerlukan desktop penuh. Seorang kontraktor dukungan mungkin memerlukan satu konsol administrasi tetapi tidak memerlukan akses server file.

Penentuan ruang lingkup ini mengurangi potensi kerusakan akibat kredensial yang dicuri atau penyalahgunaan sesi. Bahkan ketika sebuah akun telah disusupi, penyerang memiliki lebih sedikit sistem untuk dijangkau.

Hindari mengekspos RDP dan layanan jarak jauh secara langsung

Layanan remote yang terpapar langsung menarik pemindai, alat brute-force, dan serangan kredensial. RDP tidak boleh dibiarkan terbuka ke Internet tanpa perlindungan tambahan.

Microsoft Learn menggambarkan Remote Desktop Gateway, atau RD Gateway, sebagai cara bagi pengguna untuk terhubung ke sumber daya jaringan internal dengan aman dari luar firewall perusahaan. Model berbasis gateway ini membantu menghindari akses langsung yang tidak terkendali ke sistem internal.

Bahkan ketika sebuah organisasi menggunakan portal web atau gateway, administrator tetap harus mengurangi port yang terbuka, memperkuat otentikasi, dan memantau perilaku login. Keamanan akses jarak jauh bergantung pada seluruh rantai, bukan hanya layar login pertama.

Tegakkan MFA, NLA, dan kebijakan kata sandi yang kuat

Kata sandi saja tidak cukup untuk akses jarak jauh. Kata sandi yang digunakan kembali, phishing, dan pengisian kredensial menjadikan halaman login yang terekspos sebagai target umum.

MFA menambahkan langkah verifikasi kedua. NLA membantu melindungi lingkungan RDP dengan mengautentikasi pengguna sebelum sesi jarak jauh penuh dimulai. Aturan kata sandi yang kuat dan kebijakan penguncian akun mengurangi kemungkinan keberhasilan tebakan otomatis.

Akun administrator memerlukan kontrol yang lebih ketat. Akses admin harus menggunakan MFA, lokasi sumber yang terbatas, kredensial khusus, dan pemantauan yang lebih dekat.

Batasi akses berdasarkan negara, alamat IP, dan jam kerja

Tidak setiap organisasi perlu menerima koneksi jarak jauh dari setiap lokasi. Pembatasan geografis dan daftar izin IP mengurangi paparan yang tidak perlu.

Sebagai contoh, sebuah SMB yang beroperasi hanya di Prancis, Spanyol, dan Jerman dapat memblokir upaya login dari negara lain. Penyedia layanan terkelola dapat membatasi akses administrator ke alamat IP kantor yang tepercaya.

Pembatasan jam kerja menambahkan lapisan berguna lainnya. Jika kontraktor bekerja dari Senin hingga Jumat, 08:00 hingga 18:00, sesi mereka tidak boleh tetap tersedia pada pukul 02:00 pada hari Minggu.

Terapkan prinsip hak akses minimum pada file, printer, dan sumber daya sistem

Akses aplikasi tidak secara otomatis berarti akses yang aman. Setelah sesi dibuka, pengguna masih dapat berinteraksi dengan drive lokal, printer, kunci registri, atau folder.

Administrator harus meninjau hak sistem file, akses printer, perilaku clipboard, dan pengaturan sistem. Seorang pengguna yang membutuhkan satu aplikasi pribadi tidak boleh menerima izin server yang luas.

Privilese terendah membatasi jangkauan dampak dari akun yang terkompromi. Ini juga mengurangi kemungkinan bahwa kesalahan pengguna atau malware mempengaruhi sumber daya yang tidak terkait.

Pantau login yang gagal dan perilaku ransomware

Kegagalan login yang berulang dapat menunjukkan aktivitas brute-force, pengisian kredensial, atau skrip yang dikonfigurasi dengan salah. Pemblokiran otomatis berguna karena serangan dapat terjadi lebih cepat daripada yang dapat ditanggapi oleh administrator secara manual. Untuk jalur akses yang terbuka, tim TI juga harus meninjau praktik. perlindungan serangan paksa kontrol seperti MFA, pembatasan IP, NLA, TLS, dan deteksi waktu nyata.

Perlindungan terhadap ransomware juga termasuk dalam strategi akses jarak jauh. Panduan ransomware CISA berfokus pada pengurangan kemungkinan dan dampak insiden ransomware, yang secara langsung relevan ketika aplikasi pribadi terhubung ke file bersama atau data operasional.

Akses browser, akses gateway, dan akses RDP harus semuanya menghasilkan peristiwa yang dapat ditinjau oleh administrator. Visibilitas sangat penting untuk respons cepat dan penguatan jangka panjang.

Apa itu Daftar Periksa Implementasi untuk UKM?

Sebelum menerbitkan aplikasi pribadi melalui browser, tim TI harus mengonfirmasi kontrol berikut. Daftar periksa ini membantu mengurangi paparan, membatasi izin pengguna, dan melindungi server Windows di belakang remote access.

Tentukan pengguna dan akses aplikasi

Mulailah dengan mengidentifikasi siapa yang membutuhkan akses jarak jauh dan mengapa. Buat grup pengguna untuk karyawan, kontraktor, administrator, dan mitra eksternal, kemudian peta setiap grup ke aplikasi yang diperlukan untuk peran mereka.

Terbitkan hanya aplikasi atau desktop yang dibutuhkan setiap grup. Hindari memberikan akses desktop penuh kepada pengguna ketika satu aplikasi bisnis sudah cukup.

Perkuat otentikasi

Minta autentikasi multi-faktor untuk pengguna jarak jauh, pengguna eksternal, dan administrator. MFA mengurangi risiko bahwa kata sandi yang dicuri atau ditebak menjadi kompromi yang berhasil.

Di mana Protokol Desktop Jarak Jauh digunakan, aktifkan Autentikasi Tingkat Jaringan. NLA membantu mengautentikasi pengguna sebelum sesi jarak jauh penuh dibuat.

Kurangi paparan Internet

Hindari mengekspos RDP secara langsung ke Internet. Gunakan titik akses yang terkontrol, gerbang, atau model akses web yang aman yang mencakup otentikasi, penyaringan, dan pemantauan.

Tinjau port dan layanan yang terbuka secara berkala. Hapus akses publik yang tidak lagi diperlukan.

Batasi akses berdasarkan konteks

Batasi akses jarak jauh berdasarkan negara, alamat IP tepercaya, dan jam kerja. Kontrol ini membantu memblokir koneksi yang tidak sesuai dengan aktivitas bisnis normal.

Misalnya, seorang kontraktor yang bekerja selama jam kerja tidak seharusnya dapat terhubung larut malam atau dari daerah yang tidak terduga.

Terapkan prinsip hak akses minimum

Tinjau izin sistem file, printer, registri, dan clipboard. Pengguna hanya harus memiliki hak yang diperlukan untuk menyelesaikan pekerjaan mereka.

Prinsip hak akses minimal membatasi kerusakan yang disebabkan oleh akun yang terkompromi, malware, atau kesalahan pengguna.

Aktifkan perlindungan ancaman otomatis

Aktifkan perlindungan terhadap serangan brute-force dan pemblokiran IP otomatis. Upaya login yang gagal berulang kali harus memicu tindakan defensif cepat tanpa menunggu intervensi manual.

Aktifkan perlindungan ransomware pada server yang menghosting aplikasi dan data bisnis. Keamanan akses jarak jauh harus melindungi baik titik masuk login maupun lingkungan server di belakangnya.

Tinjau acara secara teratur

Tinjau log, peringatan, alamat IP yang diblokir, dan peristiwa ransomware secara teratur. Visibilitas keamanan membantu tim TI mendeteksi perilaku mencurigakan dan meningkatkan kebijakan akses seiring waktu.

Dokumentasikan perubahan setelah setiap tinjauan. Ini menjaga kontrol akses jarak jauh selaras dengan pengguna, kontraktor, dan kebutuhan bisnis.

Akses Browser Aman vs VPN, VDI, dan ZTNA – Tabel Perbandingan

VPN, Infrastruktur Desktop Virtual, atau VDI, Akses Jaringan Zero Trust, atau ZTNA, dan akses browser yang aman menyelesaikan masalah terkait dengan cara yang berbeda.

Pendekatan Kesesuaian terbaik Risiko utama Pertimbangan SMB
VPN Pengguna yang membutuhkan akses jaringan yang luas Lebih banyak visibilitas jaringan daripada yang dibutuhkan Dapat meningkatkan dukungan dan kompleksitas endpoint
VDI Lingkungan desktop terpusat Biaya dan overhead administrasi Kuat, tetapi seringkali berat untuk akses aplikasi sederhana
ZTNA Akses granular ke sumber daya pribadi Kompleksitas arsitektur dan lisensi Model yang kuat, tetapi mungkin kompleks untuk tim yang lebih kecil.
Akses browser yang aman Pengguna yang membutuhkan aplikasi pribadi tertentu Portal yang terpapar jika tidak dilindungi Praktis saat dipasangkan dengan keamanan server yang kuat

VPN berguna ketika pengguna benar-benar membutuhkan akses jaringan. VDI berguna ketika organisasi ingin memusatkan desktop penuh. ZTNA berguna ketika organisasi siap untuk membangun akses berbasis identitas yang terperinci di berbagai sumber daya pribadi.

Akses browser yang aman seringkali menjadi pilihan yang lebih ringan untuk UKM. Pengguna membuka browser, melakukan otentikasi, dan mengakses aplikasi yang ditugaskan. Model ini menjadi aman ketika infrastruktur hosting dilindungi dari ancaman akses jarak jauh yang umum.

Bagaimana TSplus Membantu Mengamankan Akses Browser ke Aplikasi Pribadi

TSplus Advanced Security melindungi server Windows dan sesi di balik akses jarak jauh ke aplikasi pribadi. Ini membantu mengurangi risiko paparan umum seperti upaya login brute-force, koneksi geografis yang tidak diinginkan, akses di luar jam yang disetujui, izin yang berlebihan, dan perilaku ransomware.

Administrator dapat menggunakan Bruteforce Protection, Geographic Protection, Working Hours, Permissions, Ransomware Protection, Firewall, Alerts, dan Reports untuk memperkuat akses aplikasi pribadi berbasis browser. Bersama-sama, kontrol ini membantu membatasi siapa yang terhubung, kapan akses diizinkan, dan ancaman mana yang diblokir.

Kesimpulan

Akses browser yang aman ke aplikasi pribadi dapat mengurangi ketergantungan pada VPN dan membatasi paparan jaringan ketika perlindungan sisi server kuat. TSplus membantu UKM mengontrol siapa yang terhubung, membatasi lokasi dan jam yang berisiko, memblokir upaya brute-force, mengelola izin, dan menghentikan perilaku ransomware, sehingga aplikasi pribadi tetap tersedia untuk pengguna yang berwenang tanpa meninggalkan infrastruktur Windows yang tidak perlu terpapar selama operasi bisnis sehari-hari.

Bagikan:

Facebook Twitter LinkedIn

Tim TSplus Anda

Bacaan lebih lanjut

back to top of the page icon