Diagram arsitektur perangkat lunak berfungsi sebagai alat komunikasi utama bagi tim teknis. Mereka menghubungkan kesenjangan antara persyaratan abstrak dan implementasi yang nyata. Namun, diagram arsitektur standar sering kali hanya fokus pada fungsionalitas dan aliran data. Sering kali lapisan kritis seperti kendali keamanan, batas kepercayaan, dan strategi mitigasi ancaman diabaikan. Ketika keamanan dianggap sebagai hal yang ditambahkan belakangan selama tahap desain, kerentanan sudah terbentuk dalam sistem sebelum satu baris kode pun ditulis.

Model C4 menyediakan pendekatan terstruktur untuk mendokumentasikan arsitektur perangkat lunak melalui hierarki diagram. Dengan mengintegrasikan pertimbangan keamanan ke setiap tingkatan dalam hierarki C4, arsitek dapat menciptakan bahasa visual yang secara jelas menyampaikan risiko, kepatuhan, dan mekanisme perlindungan. Panduan ini mengeksplorasi cara memasukkan pemikiran keamanan ke dalam diagram tingkat Konteks, Wadah, Komponen, dan Kode tanpa bergantung pada alat atau pemasok tertentu.

🔍 Mengapa Visibilitas Keamanan Penting dalam Diagram

Keamanan sering kali tidak terlihat sampai gagal. Firewall memblokir lalu lintas, enkripsi mengacak data, dan otentikasi memvalidasi identitas. Mekanisme-mekanisme ini sangat penting, namun jarang digambarkan dalam dokumen desain standar. Ketika keamanan disembunyikan, menjadi sulit untuk diaudit, sulit dipahami oleh anggota tim baru, dan sulit dilindungi terhadap ancaman yang terus berkembang.

Mengintegrasikan keamanan ke dalam diagram arsitektur menawarkan beberapa keuntungan yang jelas:

• Pemahaman Bersama:Tim keamanan dan tim pengembangan berbicara bahasa yang berbeda. Memvisualisasikan kendali keamanan pada diagram yang sama dengan aliran aplikasi menyelaraskan pemahaman mereka.
• Identifikasi Ancaman:Diagram menyoroti aliran data. Setiap aliran data merupakan vektor serangan potensial. Memvisualisasikan jalur-jalur ini memudahkan identifikasi tempat data mungkin terbuka atau dimanipulasi.
• Audit Kepatuhan:Regulasi sering kali mengharuskan bukti tindakan perlindungan data. Diagram arsitektur yang dilengkapi anotasi yang baik berfungsi sebagai bukti kendali keamanan pada tahap desain.
• Respons Insiden:Selama insiden keamanan, memahami di mana data berada dan bagaimana data bergerak sangat penting. Diagram memberikan peta untuk penanganan dan perbaikan.

🏗️ Gambaran Umum Hierarki Model C4

Model C4 adalah pendekatan berlapis untuk dokumentasi arsitektur perangkat lunak. Ini berkembang dari gambaran besar hingga detail implementasi. Setiap lapisan melayani audiens yang berbeda dan menyediakan tingkat kerincian yang berbeda. Mengintegrasikan keamanan pada lapisan yang tepat memastikan informasi yang tepat sampai pada orang yang tepat.

1. Diagram Konteks (Tingkat 1):Mendeskripsikan sistem dalam lingkungannya. Fokus pada pengguna dan sistem eksternal.
2. Diagram Wadah (Tingkat 2):Mendeskripsikan struktur teknis tingkat tinggi. Menunjukkan sistem perangkat lunak seperti aplikasi web, aplikasi mobile, dan basis data.
3. Diagram Komponen (Tingkat 3):Mendeskripsikan desain tingkat tinggi dari satu wadah. Menunjukkan blok bangunan seperti kontroler, layanan, dan repositori.
4. Diagram Kode (Tingkat 4):Mendeskripsikan implementasi dari satu komponen. Menunjukkan kelas dan metode. Ini jarang dibagikan secara eksternal tetapi sangat penting untuk tinjauan keamanan internal.

🌍 Tingkat 1: Keamanan Diagram Konteks

Diagram Konteks adalah titik masuk. Ini menentukan batas sistem. Keamanan pada tingkat ini berkaitan dengan batas kepercayaan dan identitas. Anda harus secara jelas membedakan antara apa yang berada di dalam zona kepercayaan Anda dan apa yang berada di luar.

🔑 Manajemen Identitas dan Akses

Pada tingkat Konteks, elemen keamanan yang paling penting adalah otentikasi. Anda perlu menunjukkan siapa yang diizinkan berinteraksi dengan sistem.

• Aktor Manusia:Beri label pada pengguna secara jelas. Bedakan antara pengguna administratif dan pengguna akhir biasa. Akses administratif sering kali membutuhkan kendali yang lebih ketat.
• Sistem Eksternal: Ini sering kali merupakan titik lemah. Tunjukkan bagaimana mereka melakukan otentikasi. Apakah mereka menggunakan kunci API, token OAuth, atau TLS saling-mengenal?
• Zona Kepercayaan: Gunakan petunjuk visual untuk menandai batas kepercayaan. Garis padat mungkin mewakili koneksi internal yang memiliki kepercayaan tinggi, sementara garis putus-putus mewakili koneksi eksternal yang memiliki kepercayaan rendah.

🔗 Keamanan Aliran Data

Setiap garis dalam Diagram Konteks mewakili aliran data. Tidak semua aliran data sama. Beberapa membawa informasi sensitif, sementara yang lain membawa pembaruan status publik.

• Persyaratan Enkripsi: Tandai aliran yang memerlukan enkripsi saat dalam perjalanan. Gunakan label seperti HTTPS atau WSS.
• Penanganan PII: Jika data mengandung informasi yang dapat mengidentifikasi pribadi, tandai aliran tersebut. Ini memastikan bahwa tim di bawahnya mengetahui untuk menerapkan perlindungan tambahan.
• Mekanisme Otentikasi: Tunjukkan apakah aliran memerlukan otentikasi. Misalnya, Bearer Token atau Session Cookie persyaratan harus dicatat pada garis penghubung.

📦 Tingkat 2: Keamanan Diagram Container

Setelah batas sistem ditetapkan, Diagram Container memecahnya menjadi unit yang dapat di-deploy. Di sinilah kontrol keamanan teknis menjadi terlihat. Container biasanya berupa aplikasi web, aplikasi mobile, mikroservis, atau basis data.

🛡️ Keamanan Jaringan dan Zona

Container sering didistribusikan di berbagai zona jaringan. Memvisualisasikan zona-zona ini membantu memahami segmentasi jaringan.

• Penempatan DMZ: Tunjukkan container mana yang terbuka terhadap internet publik. Ini memerlukan tingkat pengawasan tertinggi.
• Layanan Internal: Tunjukkan container mana yang hanya internal. Ini seharusnya tidak memiliki eksposur langsung ke internet.
• Aturan Firewall: Gunakan pengkodean warna atau anotasi untuk menunjukkan container mana yang diizinkan berkomunikasi satu sama lain. Ini mencegah pergerakan lateral jika terjadi pelanggaran.

🔐 Perlindungan Data Saat Tertahan

Container sering menyimpan data. Baik itu basis data, penyimpanan file, atau antrian pesan, media penyimpanan perlu memiliki keamanan.

• Enkripsi Saat Tertahan:Tunjukkan apakah data yang disimpan dalam container dienkripsi. Ini sangat penting untuk kepatuhan.
• Manajemen Kunci:Tunjukkan di mana kunci enkripsi disimpan. Apakah dikelola oleh container itu sendiri, atau oleh layanan manajemen kunci eksternal?
• Klasifikasi Data:Beri label pada container berdasarkan tingkat kerentanan data yang disimpannya.Publik, Internal, Rahasia, atau Terbatas.

📡 Keamanan Protokol

Protokol yang digunakan antar container menentukan posisi keamanan komunikasi internal.

• API Internal:Pastikan API internal tidak menggunakan HTTP biasa. Beri keterangan pada koneksi dengan HTTPS atau gRPC dengan mTLS.
• Mesh Layanan:Jika mesh layanan digunakan, tunjukkan bahwa lalu lintas antar container dienkripsi dan diverifikasi secara otomatis.
• Protokol Warisan:Jika protokol warisan seperti FTP atau SMTP tanpa enkripsi digunakan, soroti ini sebagai area risiko yang memerlukan perbaikan.

⚙️ Tingkat 3: Keamanan Diagram Komponen

Diagram Komponen memperdalam ke dalam satu container. Menunjukkan blok-blok pembangun logis. Di sinilah logika keamanan diimplementasikan.

🧩 Logika Otentikasi dan Otorisasi

Logika keamanan sering didistribusikan di seluruh komponen. Sangat penting untuk menunjukkan di mana logika ini berada.

• Handler Otentikasi:Identifikasi komponen yang bertanggung jawab atas proses login pengguna. Ini merupakan target bernilai tinggi bagi penyerang.
• Middleware Otorisasi:Tunjukkan di mana pemeriksaan kontrol akses terjadi. Apakah dilakukan pada tingkat kontroler atau tingkat layanan?
• Validasi Token:Tunjukkan komponen yang memvalidasi token keamanan. Jika validasi ini terpusat, maka risiko kebijakan keamanan yang tidak konsisten akan berkurang.

🛑 Validasi dan Sanitasi Input

Pelanggaran keamanan sering dimulai dari input yang buruk. Diagram komponen harus menyoroti di mana input diproses.

• Titik Masuk:Tandai komponen yang menerima data eksternal. Ini merupakan garis pertahanan pertama terhadap serangan injeksi.
• Logika Sanitasi:Tunjukkan komponen yang bertanggung jawab untuk membersihkan data sebelum disimpan atau diproses. Ini mencegah serangan injeksi SQL dan scripting lintas situs.
• Enkoding Output:Tunjukkan di mana data dienkripsi sebelum dikirim ke pengguna. Ini memastikan bahwa skrip berbahaya tidak dieksekusi di browser.

📊 Pencatatan dan Pemantauan

Operasi keamanan bergantung pada log. Jika Anda tidak dapat melihat apa yang terjadi, Anda tidak dapat mendeteksi pelanggaran.

• Log Keamanan:Identifikasi komponen yang menghasilkan log yang relevan dengan keamanan. Contohnya termasuk percobaan login gagal, penolakan izin, dan perubahan konfigurasi.
• Agregasi Log:Tunjukkan ke mana log dikirim. Apakah dikirim ke layanan pencatatan terpusat? Ini memastikan log tidak hilang jika suatu komponen dirusak.
• Penyembunyian Data Sensitif:Tunjukkan apakah log dibersihkan untuk mencegah bocornya kredensial atau data sensitif.

🧠 Level 4: Keamanan Diagram Kode

Diagram Kode adalah tingkat yang paling rinci. Menunjukkan kelas dan metode. Meskipun ini jarang dibagikan di luar tim pengembangan, sangat penting untuk tinjauan keamanan mendalam.

🔒 Operasi Kriptografi

Pada tingkat ini, Anda dapat melihat secara tepat bagaimana kriptografi digunakan.

• Rahasia yang Dikodekan Secara Keras:Periksa adanya kunci API atau kata sandi yang dikodekan secara keras dalam struktur kode. Ini harus ditandai sebagai kerentanan kritis.
• Penggunaan Algoritma:Verifikasi bahwa algoritma yang kuat digunakan. Algoritma lemah seperti MD5 atau SHA1 harus dihindari.
• Generasi Angka Acak:Pastikan generator angka acak kriptografi digunakan untuk ID sesi dan token.

🧪 Pengujian Unit untuk Keamanan

Persyaratan keamanan harus diuji. Diagram kode dapat menunjukkan di mana pengujian keamanan didefinisikan.

• Kasus Pengujian Keamanan:Identifikasi metode yang didedikasikan untuk pengujian keamanan. Ini harus mencakup bypass otentikasi, injeksi, dan kontrol akses.
• Pengujian Integrasi:Tunjukkan bagaimana kontrol keamanan diuji dalam konteks seluruh sistem.

🚧 Zona Kepercayaan dan Batas

Di semua tingkatan model C4, zona kepercayaan adalah tema yang berulang. Zona kepercayaan adalah area di mana kontrol keamanan konsisten dan batas dengan jelas didefinisikan.

Jenis Zona	Tingkat Kepercayaan	Kontrol Umum	Representasi Diagram
Internet Eksternal	Zero Trust	Firewall, WAF, TLS	Batas Putus-putus Merah
DMZ	Kepercayaan Rendah	Filtering Ketat, Akses Terbatas	Batas Putus-putus Oranye
Jaringan Internal	Kepercayaan Menengah	Segmentasi Jaringan, Otentikasi	Batas Biru Padat
Inti Aman	Kepercayaan Tinggi	Enkripsi, Manajemen Kunci, Audit	Batas Hijau Padat

Memvisualisasikan zona-zona ini membantu para pemangku kepentingan memahami profil risiko dari berbagai bagian sistem. Pelanggaran pada DMZ seharusnya tidak merusak Inti Aman. Konsep ini dikenal sebagai pertahanan dalam kedalaman.

🧩 Pola Keamanan Umum dalam C4

Beberapa pola keamanan muncul secara rutin di berbagai arsitektur. Mendokumentasikan pola-pola ini secara eksplisit menghemat waktu dan mengurangi kebingungan.

🔑 Pola Gateway API

Gateway API berfungsi sebagai satu titik masuk untuk semua permintaan klien. Ia menangani otentikasi, pembatasan laju, dan penjadwalan rute.

• Penempatan: Berada di antara pengguna eksternal dan kontainer internal.
• Peran Keamanan: Mengalihkan logika keamanan dari layanan individu, memastikan penerapan kebijakan yang konsisten.
• Catatan Diagram:Tandai gateway dengan AuthN/AuthZ label.

🔒 Pola Enkripsi Data

Data harus dilindungi saat diam dan saat dalam perjalanan. Ini adalah pola dasar.

• Dalam Perjalanan: Gunakan TLS untuk semua komunikasi jaringan.
• Saat diam: Enkripsi basis data dan penyimpanan file.
• Kunci: Simpan kunci secara terpisah dari data.

👁️ Pola Pencatatan Audit

Setiap tindakan kritis harus dicatat. Ini sangat penting untuk analisis forensik.

• Apa yang Harus Dicatat: Tindakan pengguna, perubahan sistem, dan peristiwa keamanan.
• Integritas Log: Pastikan log tidak dapat diubah oleh penyerang.
• Retensi: Tentukan berapa lama log disimpan untuk kepatuhan.

🔄 Pemeliharaan dan Evolusi

Keamanan bukan tugas satu kali. Sistem berkembang, ancaman berubah, dan kerentanan baru ditemukan. Diagram arsitektur harus berkembang bersama mereka.

📅 Memperbarui Diagram

Ketika terjadi perubahan pada sistem, diagram harus diperbarui. Ini memastikan dokumentasi tetap menjadi sumber kebenaran.

• Kontrol Perubahan:Integrasikan pembaruan diagram ke dalam pipeline penyebaran.
• Siklus Tinjauan:Atur tinjauan berkala terhadap diagram arsitektur bersama tim keamanan.
• Versi:Simpan versi diagram untuk melacak perubahan kontrol keamanan seiring waktu.

🧪 Integrasi Pemodelan Ancaman

Pemodelan ancaman adalah proses mengidentifikasi ancaman keamanan potensial. Ini bekerja berdampingan dengan diagram C4.

• Model STRIDE:Gunakan model STRIDE (Peniruan, Pemalsuan, Penyangkalan, Pengungkapan Informasi, Penolakan Layanan, Peningkatan Hak Akses) untuk meninjau setiap elemen dalam diagram.
• Analisis Aliran Data:Telusuri setiap aliran data dalam diagram. Tanyakan apakah data dilindungi di setiap tahap.
• Identifikasi Aset:Identifikasi aset bernilai tinggi dalam diagram. Fokuskan upaya keamanan untuk melindungi aset-aset ini.

📝 Daftar Periksa untuk Diagram Keamanan

Gunakan daftar periksa ini untuk memastikan diagram C4 Anda siap dari segi keamanan.

• [ ] Apakah batas kepercayaan ditandai dengan jelas?
• [ ] Apakah enkripsi saat dalam perjalanan ditunjukkan pada semua aliran data?
• [ ] Apakah enkripsi saat dalam penyimpanan ditunjukkan untuk wadah penyimpanan?
• [ ] Apakah titik otentikasi diberi label?
• [ ] Apakah aliran data sensitif ditandai?
• [ ] Apakah ketergantungan eksternal diidentifikasi dan dinilai?
• [ ] Apakah segmen jaringan dan zona divisualisasikan?
• [ ] Apakah titik pencatatan dan pemantauan ditampilkan?
• [ ] Apakah kerentanan yang diketahui didokumentasikan?
• [ ] Apakah diagram tetap diperbarui sesuai perubahan kode?

💡 Pikiran Akhir tentang Visualisasi Keamanan

Membuat sistem yang aman membutuhkan lebih dari sekadar menulis kode yang aman. Diperlukan desain yang aman. Model C4 menawarkan kerangka kerja yang kuat untuk memvisualisasikan desain tersebut. Dengan memasukkan pemikiran keamanan ke setiap lapisan, mulai dari diagram Konteks hingga tingkat Kode, tim dapat membangun sistem yang tangguh secara bawaan.

Keamanan adalah tanggung jawab bersama. Ketika diagram secara jelas menyampaikan kontrol keamanan, pengembang, operator, dan insinyur keamanan dapat bekerja sama lebih efektif. Visibilitas bersama ini mengurangi risiko dan membangun kepercayaan terhadap perangkat lunak yang dikirimkan. Ingatlah bahwa diagram adalah dokumen hidup. Harus diperlakukan dengan perhatian yang sama seperti kode yang diwakilinya.