IMPLEMENTASI SECURITY AUDITOR UNTUK STANDARDISASI INSTALASI SERVER PADA LAYANAN SAAS MENGGUNAKAN CIS BENCHMARK
Abstract
Pertumbuhan layanan sistem pada era ini semakin banyak dan variatif, termasuk juga adalah layasan SaaS. Pada layanan SaaS kebutuhan sebuah kemanan informasi itu cukup penting dan vital. Salah satu cara meningkatkan keamanan adalah dengan melakukan hardening pada server yang digunakan. Hardening dapat dilakukan jika memiliki data konfigurasi pada sistem dan kontrol terdahap isu-isu kemanan informasi. Penelitian ini bertujuan untuk mengimplementasikan CIS Security untuk mengetahui hasil audit dari CIS Benchmark berupa penilaian sehingga dapat meningkatkan keamanan sistem operasi Centos 6.10 dengan rekomendasi dari CIS Security ini. Sistem ini dibuat bertujuan untuk melakukan audit pada server dengan sistem operasi Centos 6. 10, kemudian hasil dari audit akan ditampilkan dalam data agar lebih mudah dibaca dan dapat dijadikan bahan untuk menjadi evaluasi bagi instalasi layanan SaaS agar lebih baik. Dalam sistem security auditor ini terdapat 2 buah server, masing-masing adalah server testing dan server pool. Server testing adalah server yang akan di audit menggunakan program audit yang disesuaikan dengan CIS Benchmark. Program audit ini ditulis dalam bahasa bash script. Hasil audit dapat dikirimkan ke server pool dan ditampilkan oleh server pool dengan halaman web. Pada server pool ini menggunakan PHP sebagai backend dengan manajemen datanya adalah mysql. Sedangkan menggunakan framework Bootsrap untuk meperindah frontend nya. Untuk enviroment server pool ini dijalankan dengan virtulasisasi docker. Berdasarkan analisa yang dilakukan sehingga diperoleh hasil yaitu sistem security auditor untuk standardisasi instalasi server pada layanan SaaS menggunakan CIS Benchmark. Untuk membangun sebuah security auditor membutuhkan standardisasi yang sudah diakui dunia. CIS Control memiliki kaitan penting dalam implementasi ISO 27001. Dalam sistem security auditor ini dapat memberikan nilai pada setiap hasil audit yang dijalankan pada server testing dengan CIS Benchmark berdasarkan CIS Control. Selain itu sistem ini memberikan ceklist data hasil audit yang dapat digunakan System Administrator untuk mengevaluasi intalasi server pada layanan SaaS. Kata kunci: audit keamanan sistem, CIS benchmark, CIS Control, CIS Security, ISO 27001 ------ The development of system services this year is increasing, especially SaaS services. In SaaS services, the need for information security is quite important. One of the solutions to improve security in the system is to harden the server used. Hardening can be done if you have configuration data on the design and controls for information security issues. This study aims to implement CIS Security to find out the results of an audit from CIS Benchmark in the form of an assessment so that it can improve the security of the Centos 6.10 operating system with recommendations from CIS Security. This research is building a system to conduct an audit on a server with the Centos 6.10 operating system; then, the audit results will be displayed in the data so that it is easier to read and can be used as material for evaluation for better SaaS service installations. In this security auditor system, there are two servers: a testing server and a pool server. Server testing is a server that will be audited using an audit program that is adjusted to the CIS Benchmark. This audit program is written in a bash script language. Audit results can be sent to the pool server and displayed by the pool server with a web page. This server pool uses PHP as the backend, with MySQL as data management. At the same time, use the Bootstrap framework to beautify the front end. The server pool environment is run with docker virtualization. Based on the analysis, the results are a security auditor system for standardizing server installations in SaaS services using CIS Benchmarks. Building a security auditor requires standardization that has been recognized worldwide. CIS Control has an important link in the implementation of ISO 27001. The system can give a value to each audit result run on the testing server with CIS Benchmark based on CIS Control. In addition, this system provides a checklist of audit results data that System Administrators can use to evaluate server installations on SaaS services. Keywords: network security auditing, CIS benchmark, CIS control, CIS security, ISO 27001