Dalam lingkungan keamanan siber modern, pemisahan jaringan antara komponen security monitoring menjadi faktor penting untuk mengurangi risiko kompromi. Di Micro Data Center X-Code, kami menerapkan konsep ini untuk Wazuh, di mana Wazuh Agent dan Wazuh Manager berjalan pada jaringan yang berbeda.
Latar Belakang
Wazuh adalah platform open-source untuk security monitoring, intrusion detection, dan incident response. Arsitekturnya terdiri dari:
- Wazuh Agent: Terpasang pada server atau endpoint yang dimonitor.
- Wazuh Manager: Mengelola, menerima, dan memproses log serta data keamanan dari agent.
Jika kedua komponen ini berada di jaringan yang sama tanpa segmentasi, potensi serangan lateral (lateral movement) menjadi lebih besar ketika salah satu endpoint dikompromi.
Implementasi di Micro Data Center X-Code
Kami mengelola dua jenis layanan utama yang dipantau oleh Wazuh:
- Layanan VPS berbasis Proxmox
- Nama agent:
bigsentinel - IP address: 192.168.20.2 (jaringan server bigsentinel)
- Menggunakan Router MikroTik sebagai jalur routing.
- Nama agent:
- Cloud Hosting berbasis MicroCloud
- Nama agent:
xcodehosterdata - IP address: 240.149.0.189 (Container di bawah microcloud)
- Menggunakan arsitektur Cluster 3 Node untuk high availability.
- Nama agent:
Keduanya mengirimkan data ke Wazuh Manager yang berada pada alamat 192.168.1.227:8443, tetapi melalui jalur jaringan yang berbeda.
Manfaat Pemisahan Jaringan
- Segregasi Keamanan
Agent internal (Proxmox) dan eksternal (MicroCloud) berada di segmen jaringan berbeda, meminimalkan risiko dari serangan. - Kontrol Akses Ketat
Firewall hanya mengizinkan komunikasi agent–manager pada port yang dibutuhkan (1514/UDP, 1515/TCP). - Pemantauan Lebih Terstruktur
Jalur komunikasi dapat dipetakan dengan jelas sesuai jenis layanan.
Data ini menunjukkan server banyak mengalami serangan dalam 24 jam terakhir.
17.954 total event dalam 24 jam terakhir.
Ini termasuk semua jenis alert, dari pemeriksaan integritas, log sistem, hingga percobaan login.
4.942 kasus authentication_failed dalam 24 jam terakhir.
Pola Waktu Serangan
Dari grafik, ada dua lonjakan besar sekitar 18:00 dan 06:00.Hal ini membuat kami semakin fokus terhadap keamanan, khususnya melalui pemantauan (monitoring) yang ketat.
Salah satu langkah strategis yang kami terapkan adalah memisahkan jaringan antara Wazuh Agent dan Wazuh Manager. Dengan arsitektur Micro Data Center X-Code, layanan VPS berbasis Proxmox berada di bawah router MikroTik, sedangkan layanan Cloud Hosting berbasis MicroCloud dengan clustering 3 node ditempatkan pada jaringan yang terisolasi.
Pendekatan ini memastikan bahwa komunikasi antar komponen monitoring tetap aman, sekaligus meminimalkan potensi eksploitasi jika salah satu jaringan mengalami kompromi.
Ini hanya salah satu contoh. Kami masih memiliki banyak server yang dimonitor. Selain menggunakan Wazuh, kami juga memantau dengan Zabbix, Netdata, Prometheus, dan Grafana untuk memastikan keamanan serta ketersediaan layanan bagi ribuan pengguna VPS dan hosting kami.
Dengan kombinasi berbagai platform monitoring tersebut, kami dapat mendeteksi ancaman dengan cepat, memantau performa sistem secara real-time, serta melakukan mitigasi sebelum berdampak pada layanan.