Apa Itu Cloudflare?
Cloudflare adalah perusahaan teknologi yang terkenal karena menyediakan layanan keamanan dan kinerja web. Mereka menawarkan berbagai produk dan solusi untuk melindungi dan mengoptimalkan situs web Anda. Salah satu fitur utama Cloudflare adalah Application Security Services, yang mencakup Web Application Firewall (WAF), Bot Mitigation, dan fitur-fitur yang lain.
Mengapa Odoo ERP Memerlukan Keamanan Tambahan?
Odoo ERP adalah perangkat lunak Enterprise Resource Planning (ERP) yang terintegrasi dan open source. Ini menyediakan berbagai modul bisnis yang dapat digunakan untuk mengelola berbagai aspek operasional perusahaan, seperti keuangan, produksi, persediaan, penjualan, dan sumber daya manusia. Odoo ERP memungkinkan perusahaan untuk mengotomatisasi proses bisnis mereka, meningkatkan efisiensi, dan memantau kinerja secara holistik melalui satu platform terpadu. Salah satu keunggulan Odoo adalah fleksibilitasnya, yang memungkinkan pengguna untuk menyesuaikan modul dan fitur sesuai dengan kebutuhan spesifik mereka.
Odoo ERP mempunyai akses web publik untuk menyediakan layanan seperti ecommerce, blog, elearning, helpdesk, merupakan aset digital yang berharga bagi perusahaan. Ini mungkin berisi data pelanggan, informasi bisnis, atau transaksi penting. Seiring dengan semakin kompleksnya ancaman siber, seperti serangan DDoS, peretasan, dan serangan berbasis aplikasi, diperlukan lapisan keamanan tambahan untuk melindungi situs web Anda dan menjaga integritasnya.
Manfaat Cloudflare Application Security Services
1. Web Application Firewall (WAF)
Cloudflare menyediakan WAF yang canggih untuk melindungi situs web Anda dari serangan aplikasi berbahaya. Ini memungkinkan Anda untuk mengonfigurasi aturan keamanan khusus dan memblokir ancaman sebelum mereka mencapai server web Anda. Dengan WAF, Anda dapat memitigasi serangan SQL injection, cross-site scripting (XSS), dan banyak lagi.
2. Perlindungan Terhadap Bot
Serangan bot dapat merusak reputasi dan kinerja situs web Anda. Cloudflare memiliki kemampuan untuk mendeteksi dan menghentikan bot jahat, memastikan bahwa lalu lintas yang mencapai situs Anda adalah lalu lintas yang sah.
3. Distributed Denial of Service (DDoS) Protection
Cloudflare memiliki jaringan global yang luas dan infrastruktur yang kuat. Ketika situs web Anda dilindungi oleh Cloudflare, lalu lintas web yang mencapai situs Anda akan dilewatkan melalui pusat data Cloudflare yang tersebar di seluruh dunia. Ini memungkinkan Cloudflare untuk memitigasi serangan DDoS dengan cara mendistribusikan beban lalu lintas dan mengidentifikasi serangan sebelum mereka mencapai server web Anda. Cloudflare dapat mengidentifikasi pola lalu lintas yang tidak wajar dan memisahkan lalu lintas yang berasal dari bot atau perangkat yang terhubung ke botnet.
4. Peningkatan Performa dengan CDN
Cloudflare menyertakan layanan Content Delivery Network (CDN) yang akan mendistribusikan konten situs web Anda ke server yang tersebar di seluruh dunia. Ini mengurangi waktu muat halaman, meningkatkan kinerja situs, dan memberikan pengalaman pengguna yang lebih baik.
5. Analisis Keamanan Lanjutan
Cloudflare menyediakan alat analisis keamanan yang kuat untuk membantu Anda memahami ancaman dan kelemahan potensial pada situs web Anda. Anda dapat memantau lalu lintas web secara real-time dan menerima laporan keamanan yang terperinci.
Manfaat Cloudflare Zero Trust Network
Adalah paradigma keamanan yang memprioritaskan tingkat kepercayaan yang sangat rendah terhadap setiap akses jaringan, bahkan jika akses tersebut berasal dari dalam jaringan internal perusahaan. Berikut adalah beberapa manfaat dari Zero Trust Network Cloudflare:
1. Peningkatan Keamanan
Pendekatan Zero Trust Network berarti tidak ada entitas atau perangkat yang diasumsikan aman secara default. Setiap akses ke sumber daya perusahaan harus diotentikasi, diotorisasi, dan dipantau secara ketat. Ini mengurangi risiko penyebaran serangan internal dan memungkinkan deteksi yang lebih cepat jika terjadi pelanggaran.
2. Perlindungan Terhadap Ancaman Internal
Dalam dunia modern yang semakin terkoneksi, serangan internal atau ancaman yang berasal dari dalam perusahaan bisa menjadi risiko serius. Zero Trust Network memastikan bahwa bahkan pengguna atau perangkat yang berada di dalam jaringan internal harus melewati otentikasi dan otorisasi yang ketat untuk mengakses sumber daya penting.
3. Akses yang Aman dari Jarak Jauh
Zero Trust Network sangat relevan dalam lingkungan kerja jarak jauh. Karyawan yang bekerja dari luar kantor atau di lokasi yang berbeda perlu mengakses sumber daya perusahaan dengan aman. Cloudflare Zero Trust Network memungkinkan pengguna untuk mengakses sumber daya perusahaan melalui jaringan aman, independen dari lokasi mereka.
4. Skalabilitas dan Fleksibilitas
Cloudflare menyediakan infrastruktur yang dapat diskalakan dengan mudah sesuai dengan kebutuhan Anda. Ini memungkinkan Anda untuk mengimplementasikan Zero Trust Network pada berbagai jenis aplikasi dan infrastruktur yang mungkin Anda miliki.
5. Integrasi dengan Cloud Security
Cloudflare Zero Trust Network dapat diintegrasikan dengan solusi keamanan cloud lainnya yang Anda gunakan, seperti layanan Application Security Services, DDoS protection, dan layanan keamanan lainnya yang ditawarkan oleh Cloudflare. Ini memberikan lapisan keamanan tambahan yang berfungsi bersamaan.
6. Monitoring dan Audit
Zero Trust Network memungkinkan Anda untuk memantau aktivitas pengguna secara rinci. Ini termasuk pemantauan log, inspeksi lalu lintas, dan kemampuan untuk melacak aktivitas yang mencurigakan. Hal ini membantu dalam mendeteksi serangan lebih awal dan menyelidiki insiden keamanan.
7. Kepatuhan dan Regulasi
Zero Trust Network Cloudflare dapat membantu Anda mematuhi berbagai regulasi keamanan data yang berlaku, seperti GDPR, HIPAA, dan lainnya. Dengan mengikuti pendekatan ini, Anda dapat memastikan bahwa data pelanggan dan bisnis Anda terlindungi dengan baik.
8. Analisis Keamanan Lanjutan
Anda dapat memantau lalu lintas web secara real-time dan menerima laporan keamanan yang terperinci. Ini membantu Anda dalam memahami ancaman potensial dan mengambil langkah-langkah proaktif untuk melindungi situs web Anda.
Network Topology:
https://developers.cloudflare.com/reference-architecture/cdn-reference-architecture/
Tampilan Dashboard dari Cloudflare:
Sistem Keamanan DDOS
Optimalisasi CDN - Page Rules
1. *.visiniaga.com/* -> disabled
2. *.visiniaga.com/en/* -> disabled
3. *.visiniaga.com/*/blog/*
4. *.visiniaga.com/*/unsplash/*
5. *.visiniaga.com/*/website/translations/*
6. *.visiniaga.com/*/web_editor/shape/*
7. *.visiniaga.com/web/image/*
8. *.visiniaga.com/*/static*
Cache Rules - Disable Cache untuk page Dynamic
1. Bypass Cache URI contains /web/login2. Bypass Cache URI contains /web/action/ 3. Bypass Cache URI contains /web/dataset/ OR /web/webclient/ OR /web/content 4. Bypass Cache URI contains /web? OR URI Equals /web 5. Bypass Cache URI contains /web/image/res.partner OR /web/image/res.users OR /web/image?model 6. Bypass Cache URI contains /longpolling/ OR /im_livechat/ 7. Bypass Cache URI contains enable_editor=1 OR (URI Contains /blog/ AND URI Full Contains ?) 8. Bypass Cache URI contains /queue_job/ 9. Cache URI contains /index.html
Konfigurasi NGINX Reverse Proxy
Konfigurasi CDN Cloudflare:
- Caching Level Full
- Full Encryption
Untuk access log karena web diakses dengan Cloudflare, membutuhkan real_ip_header untuk check real ip dari client.
https://developers.cloudflare.com/support/troubleshooting/restoring-visitor-ips/restoring-original-visitor-ips/
https://nginx.org/en/docs/http/ngx_http_realip_module.html#real_ip_header
Syntax: real_ip_header field | X-Real-IP | X-Forwarded-For | proxy_protocol;Default: real_ip_header X-Real-IP;
Context: http,server,locationnginx configuration files: sites-enable/odoo.conf
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 104.16.0.0/13;
set_real_ip_from 104.24.0.0/14;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 131.0.72.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
real_ip_header X-Forwarded-For;
real_ip_recursive on;
Cloudflare ZTNA
1. Instalasi di server Ubuntu on premise
https://pkg.cloudflare.com/index.html
# Add cloudflare gpg key sudo mkdir -p --mode=0755 /usr/share/keyrings |
- Override dns record dengan file hosts, untuk domain yang akan diakses via Cloudflare ZTNA Services via tunnel, ke arah ip internal di firewall
file /etc/hosts:#cloudflare
202.6.225.66 www.visiniaga.com odoo.visiniaga.com synology.visiniaga.com
- Menjalankan daemon cloudflared dengan non root user cloudflared
file /etc/systemd/system/cloudflared.service:[Unit]
Description=cloudflared
After=network.target [Service]
TimeoutStartSec=0
Type=notify
ExecStart=/usr/bin/cloudflared --no-autoupdate tunnel run --token tokenfromcloudflare
User=cloudflared
Group=cloudflared
Restart=on-failure
RestartSec=5s [Install]
WantedBy=multi-user.target
2. Setup Tunnels
http2Origin Off
tlsTimeout:90
noTLSVerify:
connectTimeout 90
3. DNS Record
Access ZTNA PT. Visiniaga Mitra Kreasindo:
- https://visiniaga.cloudflare.com
ZTNA Visiniaga Application
-ichtus-
