Praktik-praktik keamanan Jira sebagai faktor kunci keberhasilan pengelolaan dan pengembangan produk divisi Digital Center of Excellence BRI
Divisi Digital Center of Excellence atau biasa disebut dengan Divisi DCE merupakan salah satu divisi di Bank Rakyat Indonesia (BRI) yang berfokus untuk mengembangkan aspek bisnis dan layanan digital banking [1]. Untuk memenuhi tugas tersebut, Divisi DCE memerlukan tools yang ditujukan untuk membantu Divisi DCE dalam mengelola serta memonitor pelaksanaan proyek dan pengembangan produk. Selain itu, Divisi DCE juga memerlukan tools yang dapat digunakan pada proses pencatatan insiden dan service desk. Saat ini, dalam operasinya sehari-hari, Divisi DCE menggunakan kolaborasi dari beberapa tools dimana Jira menjadi pusatnya sebagai project management tools. Jira merupakan produk unggulan dari Atlassian yang merupakan sebuah perusahaan software multinasional yang dibentuk oleh Mike Cannon-Brookes dan Scott Farquhar pada tahun 2002 dan berbasis di Australia [2][3]. Atlassian berfokus dalam mengembangkan produk untuk pengembangan software, manajemen proyek, dan manajemen konten. Atlassian mendapatkan predikat Leaders berdasarkan Gartner’s 2020 Magic Quadrant for Enterprise Agile Planning Tools yang menunjukkan bahwa Atlassian masih menjadi salah satu perusahaan terbaik dalam bidang penyedia enterprise agile planning tools [4]. Selain Jira, Divisi DCE juga menggunakan beberapa produk Atlassian lainnya seperti BitBucket, Confluence, dan Trello. Meskipun begitu, hingga saat ini Divisi DCE belum pernah melakukan kajian mengenai keamanan penggunaan Jira dan produk-produk Atlassian lainnya dari sisi reliability, availability, dan security, padahal tools tersebut menjadi key factor terhadap keberhasilan pengelolaan dan pengembangan produk di Divisi DCE dan tidak dapat dilepaskan atas pengelolaan produk dan proyek di Divisi DCE. Atas dasar tersebut, Tim Risk and General Affair (RGA) dari Divisi DCE membuat sebuah kajian mengenai fitur-fitur yang ada pada Jira dan produk Atlassian lainnya serta praktik-praktik keamanan yang diterapkan oleh Atlassian dalam menjamin keamanan produknya.
Fitur dasar sebuah Project Management Tools
Sebelum ditinjau dari segi keamanan, sebuah project management tools yang baik setidaknya harus memiliki empat fitur dasar, yaitu [5]: (i) planning/scheduling; (ii) kolaborasi; (iii) dokumentasi; (iv) evaluasi. Fitur planning/scheduling memungkinkan individu atau tim untuk merencanakan dan mendelegasikan pekerjaan di satu tempat dengan task, subtask, folder, template, workflows, dan kalender. Fitur kolaborasi memungkinkan user dapat meng-assign task, menambahkan komentar, mengorganisir dashboard, dan melakukan pemeriksaan serta memberikan persetujuan. Project management tools juga diharuskan memiliki fitur dokumentasi atau file management, seperti editing, versioning, dan menyimpan file. Sedangkan fitur evaluasi memungkinkan user untuk melacak dan menilai produktivitas serta pertumbuhan melalui resource management & reporting. Jira memiliki keempat fitur dasar tersebut yang ditunjukkan pada fitur-fitur yang dimiliki Jira seperti adanya fitur roadmap dan backlog, dapat dikolaborasikan dengan Confluence sebagai knowledge management system, memungkinkan kolaborasi antara project manager dengan tim proyek, serta adanya fitur reporting.
Praktik keamanan Jira dalam mencegah terjadinya security breach
Dalam menjaga keamanan data customer saat menggunakan produknya, baik Jira maupun produk lainnya, Atlassian menerapkan beberapa praktik keamanan sebagai tindakan pencegahan terjadinya security breach, seperti [6]:
Cloud Product Security
Atlassian menerapkan beberapa kontrol untuk menjamin keamanan data, seperti penggunaan enkripsi pada saat transit dan saat tidak digunakan (tersimpan di dalam drive/storage) di seluruh layanan cloud. Enkripsi pada saat transit menggunakan Transport Layer Security (TLS) 1.2+ dengan Perfect Forward Secrecy (PFS). Sedangkan untuk data yang berada di drive, untuk aplikasi Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Statuspage, OpsGenie, dan Trello menggunakan enkripsi AES-256 yang merupakan standar industri.
Security Operations & Best Practices
Atlassian memiliki tim keamanan khusus yang bertugas untuk menangani masalah keamanan dengan menggunakan framework, seperti ISO27001, ISO27002, CSA CCM, dll. Ancaman keamanan dicegah menggunakan Atlassian Trust Management System (ATMS) yang dibentuk berdasarkan ISO27001 Information Security Management System. Selain itu tindakan pencegahan ancaman keamanan juga dilakukan dalam praktik software development yang aman, serta praktik operasional yang sesuai dengan standar industri.
Platform & Network Security
Atlassian melakukan rigorous security testing, termasuk threat-modelling, automated scanning, dan audit pihak ketiga. Jika terdapat insiden keamanan, maka Atlassian akan menyelesaikan insiden tersebut menggunakan praktik security incident response yang dibentuk berdasarkan NIST 800-61 Computer Security Incident Handling Guide dan katalog insiden didasarkan pada Verizon VMS Framework.
Availability & Continuity
Atlassian menjaga availability dengan menggunakan beberapa data center yang tersebar secara geografis serta menjalankan program Disaster Recovery and Business Continuity. Atlassian melakukan testing secara regular untuk memastikan data serta penggunaan data customer dapat tersedia dan sesuai dengan performansi yang diharapkan. Berikut merupakan pengujian yang dilakukan:
a. Atlassian melakukan pengujian untuk mengukur levels of resiliency di seluruh AWS Availability Zones sehingga Atlassian dapat menangani masalah pada Availability Zone dengan downtime seminimal mungkin.
b. Data backup dilakukan di seluruh data center regional AWS. Jika satu regional mengalami down, Atlassian dapat melindungi data di regional lain apabila terjadi insiden yang besar.
c. Atlassian melakukan pengujian AWS region failures.
d. Prosedur backup dan restore diuji secara berkala.
Selain itu, Atlassian juga menjamin availability sebesar 99,9% uptime.
Fitur-fitur keamanan Atlassian untuk menjamin data customer
Di samping melakukan praktik-praktik keamanan pada kegiatan operasional dan pengembangannya, Atlassian juga menambahkan fitur-fitur keamanan di produk-produknya dengan tujuan untuk memperkuat dan menjamin keamanan data customer saat menggunakan produk-produk Atlassian. Berikut fitur-fitur keamanan yang ditawarkan Atlassian [7].
Data Encryption in Transit
Data encryption in transit merupakan jenis enkripsi yang digunakan untuk melindungi data ketika data berpindah antara situs user dengan penyedia cloud atau antara dua services. Proteksi ini didapat dengan melakukan enkripsi sebelum data ditransmisikan; mengotentikasi endpoints; dan mendekripsi serta memverifikasi data saat sampai di tujuan. Seperti yang telah disebutkan sebelumnya, Atlassian menggunakan Transport Layer Security (TLS) 1.2+ dengan Perfect Forward Secrecy (PFS) untuk memproteksi data customer.
Data Encryption at Rest
Data encryption at rest merupakan jenis enkripsi yang digunakan untuk melindungi data dari masalah pada sistem atau data exfiltration dengan mengenkripsi data saat data disimpan. Atlassian menggunakan enkripsi AES-256 yang merupakan standar industri untuk aplikasi Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Statuspage, OpsGenie, dan Trello.
SAML-based SSO with All Major Portals
Security Assertion Markup Language (SAML) merupakan open standards yang memungkinkan identity providers (IdP) untuk memberikan kredensial otorisasi ke service providers. Dengan fitur ini, maka customer dapat menggunakan satu kredensial untuk masuk (login) ke beberapa aplikasi dan portal Atlassian.
User Provisioning (SCIM)
System for Cross-domain Identity Management (SCIM) merupakan open standards yang memungkinkan otomatisasi user provisioning. SCIM mengkomunikasikan data identitas user antara identity providers dengan service providers yang membutuhkan informasi identitas user. Secara singkat, SCIM membuat data user lebih aman dan menyederhanakan user experience dengan mengotomatisasi proses user identity lifecyclemanagement. Atlassian menggunakan protocol SCIM 2.0 untuk fitur user provisioning ini.
Enforced Two Factor Authentication (2FA)
Two-Factor Authentication menambahkan langkah kedua untuk login ke dalam akun Atlassian. Fitur ini membuat user harus memasukkan kode 6 (enam) digit selain password akun saat melakukan login. Langkah kedua login ini membantu akun user untuk tetap aman meskipun password milik user sudah tidak aman atau diketahui pihak lain.
Atlassian juga memiliki beberapa sertifikasi compliance yang menunjukkan bahwa praktik keamanan yang dilakukan oleh Atlassian telah mengikuti standar keamanan informasi yang diakui dunia internasional. Beberapa sertifikasi compliance yang dimiliki Atlassian, seperti PCI DSS, SOC, ISO/IEC 27001, ISO/IEC 27018, CSA, Privacy Shield, GDPR, dan VPAT [7].
Atlassian juga memiliki metode atau pendekatan dalam melakukan vulnerability management guna mengidentifikasi kerentanan-kerentanan yang ada di produknya yang mungkin disebabkan oleh bug ataupun faktor lainnya. Proses identifikasi ini dilakukan secara manual dan juga secara otomatis menggunakan tools untuk meminimalisir adanya kerentanan yang tidak terdeteksi. Kerentanan yang teridentifikasi selanjutnya akan ditangani dan diselesaikan oleh tim produk yang relevan dengan bantuan dari security engineer. Pencegahan-pencegahan dan juga inisiatif lainnya juga dilakukan oleh Atlassian untuk meminimalisir kerentanan yang muncul, dan jikapun ada maka dapat diselesaikan secara cepat dan tepat sesuai dengan SLA yang telah ditentukan.
Fitur keamanan tambahan dari Jira
Selain perlindungan yang dilakukan dari praktik keamanan yang dilakukan Atlassian, Jira juga memiliki beberapa fitur keamanan tambahan serta adanya sistem permissions yang mengatur akses yang diperoleh user. Fitur-fitur keamanan yang dimiliki Jira seperti [8]:
Password Storage
Ketika internal user management di Jira digunakan, password akan diproteksi (hashed) melalui implementasi PKCS5S2 yang disediakan oleh Embedded Crowd sebelum disimpan di database. PKCS5S2 merupakan sebuah proteksi yang memberikan mekanisme untuk melakukan encoding pada password milik user. Tidak ada mekanisme di dalam Jira untuk mengambil password milik user - saat pemulihan password dilakukan, tautan reset password akan dibuat dan dikirimkan ke alamat email user yang terdaftar. Ketika external usermanagement diaktifkan, penyimpanan password didelegasikan ke sistem eksternal.
Buffer Overflows
Jira menggunakan aplikasi Java tanpa ada komponen native yang membuat Jira memiliki ketahanan yang tinggi terhadap buffer overflow vulnerabilities - kemungkinan buffer overruns yang mungkin terbatas pada bug yang ada di Java Runtime Environment itu sendiri.
SQL Injection
Kueri pada database dihasilkan menggunakan API standar untuk penggantian parameter dibandingkan dengan string concatenation. Dengan begitu, Jira memiliki ketahanan yang tinggi terhadap serangan SQL Injection.
Script Injection
Jira adalah aplikasi Java yang bersifat self-contained dan tidak menjalankan proses eksternal. Dengan demikian, Jira memiliki ketahanan terhadap serangan script injection.
Transport Layer Security
Jira tidak secara langsung mendukung SSL/TLS. Administrator yang khawatir mengenai keamanan transport layer dapat melakukan set up SSL/TLS pada level server aplikasi web Java, atau proxy HTTP di aplikasi Jira.
Stack Traces
Untuk membantu saat melakukan debugging masalah, Jira memberikan stack traces melalui web interface ketika terjadi error. Stack traces ini termasuk informasi mengenai apa yang sedang dilakukan Jira saat terjadi error, dan beberapa informasi mengenai deployment server milik user.
Best practices yang bisa dilakukan oleh user untuk meningkatkan keamanan produk cloud Atlassian
Atlassian memberikan sebuah best practices yang dapat diikuti oleh user-nya untuk meningkatkan keamanan produk cloud Atlassian yang digunakan oleh customer. Berikut beberapa best practices yang disarankan oleh Atlassian [9].
Mengenal dan memahami Atlassian cloud landscape
Untuk meningkatkan keamanan di seluruh produk cloud Atlassian, user harus memahami produk yang digunakan oleh perusahaan dan profil risiko dari informasi yang disimpan di dalam produk tersebut.
Memanfaatkan penyedia identitas
User dapat melakukan salah satu atau kedua cara di bawah ini untuk memberikan leverage bagi penyedia identitas (identity provider).
a. Konfigurasi SSO dengan penyedia identitas (SAML/G Suite)
b. Mengatur automated user provisioning & de-provisioning dengan menggunakan SCIM atau G Suite
Mengimplementasikan protokol keamanan
Protokol keamanan yang baik membutuhkan maintenance yang konstan, seperti:
a. Menetapkan kebijakan keamanan untuk organisasi dalam rangka meningkatkan keamanan login
b. Melakukan audit activity log secara rutin.
c. Melakukan audit akun secara rutin dan membatasi akses admin
d. Melakukan edukasi atau sosialisasi best practices keamanan
Referensi:
[1] Winosa, Yosi. 2018. Wajah Digital BRI: Jawab Kaum Milenial. Warta Ekonomi.
[2] Finley, Klint. 2012. Atlassian Challenges GitHub to a Fork Fight. Wired.
[3] Moses, Asher. 2010. From Uni dropouts to software magnates. The Sydney Morning Herald.
[4] Atlassian.com. (2020). Atlassian is a Leader in Gartner’s 2020 Magic Quadrant for Enterprise Agile Planning Tools. Diakses pada 14 Agustus 2020, dari https://www.atlassian.com/gartner.
[5] Wrike.com. What Are Project Management Tools?. Diakses pada 9 September 2020, dari https://www.wrike.com/project-management-guide/faq/what-are-project-management- tools/.
[6] Atlassian.com. Security Practices. Diakses pada 18 Agustus 2020, dari https://www.atlassian.com/trust/security/security-practices.
[7] Atlassian.com. Security at Atlassian. Diakses pada 18 Agustus 2020, dari https://www.atlassian.com/trust/security
[8] Confluence.atlassian.com. (2019, 11 Februari). Security overview and advisories. Diakses pada 9 September 2020, dari https://confluence.atlassian.com/adminjiraserver/security- overview-and-advisories-966063401.html
[9] Confluence.atlassian.com. (2019, 8 November). Follow cloud security best practices. Diakses pada 9 September 2020, dari https://confluence.atlassian.com/cloud/follow-cloud- security-best-practices-962980119.html