Whitelist adalah daftar entitas yang diizinkan untuk mengakses sistem atau menjalankan proses. Prinsipnya sederhana: yang ada di daftar boleh lewat, yang tidak ada ditolak. Pendekatan ini memberi kontrol yang jelas atas pintu masuk, mempersempit permukaan serangan, dan memudahkan audit serta kepatuhan.
Dalam praktiknya, whitelist bisa berupa alamat IP, aplikasi, domain email, akun pengguna, hingga alamat dompet kripto. Admin menetapkan kriteria kepercayaan, menyusun daftarnya, lalu menerapkan aturan di komponen yang relevan seperti firewall, server, atau aplikasi. Setiap permintaan dicek terhadap daftar tersebut sehingga hanya entitas tepercaya yang mendapat akses.
Apa artinya bagi operasional? Akses lebih tertata, risiko intrusi berkurang, dan jejak keputusan keamanan lebih mudah dilacak. Tantangannya ada pada pemeliharaan: daftar perlu diperbarui seiring perubahan kebutuhan dan lingkungan. Namun jika dikelola dengan disiplin, whitelist menjadi fondasi kontrol akses yang kuat untuk organisasi dari skala kecil hingga enterprise.
Apa itu Whitelist?
Whitelist adalah daftar entitas yang diizinkan. Hanya yang masuk daftar ini yang boleh mengakses sistem, menjalankan aplikasi, atau melakukan tindakan tertentu. Apa pun di luar daftar otomatis ditolak.
Contoh:
- IP yang di-whitelist boleh masuk ke server; IP lain diblokir.
- Hanya aplikasi terdaftar yang boleh berjalan di komputer karyawan.
- Alamat email atau dompet kripto yang terverifikasi boleh bertransaksi.
Kapan dipakai? Saat butuh kontrol ketat dan jejak audit yang rapi. Keuntungannya: permukaan serangan lebih kecil, akses lebih tertata. Tantangannya: daftar harus dirawat dan diperbarui supaya tidak menghambat kerja.
Baca Juga: Vulnerability Adalah: Pengertian, Jenis, Cara Mengatasi
Cara Kerja Whitelist
Whitelist membatasi akses dengan prinsip default deny: semua ditolak, kecuali yang ada di daftar izin.
Alurnya
- Tentukan entitas tepercaya: IP, aplikasi, domain email, akun, atau alamat dompet.
- Terapkan aturan di titik kontrol: firewall/WAF, server, OS endpoint, aplikasi, atau gateway API.
- Saat ada permintaan, sistem ambil identitasnya (mis. IP, sertifikat, hash aplikasi, domain).
- Cocokkan dengan daftar. Jika ada, izinkan; jika tidak, tolak dan catat di log.
- Tinjau dan perbarui daftar secara berkala agar tetap akurat.
Contoh
- IP whitelist: hanya IP kantor yang bisa mengakses server produksi.
- Application whitelist: hanya aplikasi dengan hash dan penerbit tertentu yang boleh berjalan di laptop karyawan.
- Email/domain whitelist: email dari domain mitra dilepas dari filter spam.
Hal penting
- Gunakan identitas yang kuat (sertifikat, hash, SSO), bukan nama yang mudah dipalsukan.
- Perhatikan urutan evaluasi aturan agar izin spesifik tidak tertimpa aturan umum.
- Sediakan akses sementara yang bertenggat waktu untuk kebutuhan mendadak, lalu cabut kembali.
Contoh Penggunaan Whitelist
1) Whitelist IP untuk akses website atau area admin
Apache 2.4 (.conf atau .htaccess)
# Tolak semua
Require all denied
# Izinkan IP kantor
Require ip 203.0.113.10
Require ip 198.51.100.0/24
Nginx
location /admin {
deny all;
allow 203.0.113.10;
allow 198.51.100.0/24;
}
WordPress wp-admin via .htaccess
<Directory "/var/www/html/wp-admin">
Require ip 203.0.113.10
</Directory>
2) Whitelist email agar tidak masuk spam
SpamAssassin/cPanel
- Buka Spam Filters
- Edit Spam Whitelist Settings
- Tambahkan alamat atau domain, contoh:
whitelist_from *@mitra.co
whitelist_from ceo@klien.com
3) Whitelist di konteks kripto dan finansial
- Aktifkan withdrawal address whitelist di akun exchange
- Verifikasi alamat dompet terlebih dulu
- Hanya alamat yang di-whitelist yang bisa menerima penarikan
- Dampak: mengurangi salah kirim dan penipuan
4) Whitelist IP untuk akses AWS S3 objek publik
Bucket policy contoh
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificIPs",
"Effect": "Allow",
"Principal": "*",
"Action": ["s3:GetObject"],
"Resource": "arn:aws:s3:::nama-bucket/*",
"Condition": {
"IpAddress": {"aws:SourceIp": ["203.0.113.10/32", "198.51.100.0/24"]}
}
}
]
}
5) Application whitelist di endpoint
- Hanya aplikasi dengan hash atau penanda penerbit yang diizinkan
- Terapkan via EDR atau kebijakan OS
- Contoh kebijakan: izinkan Microsoft Office dan aplikasi internal, blok yang lain sampai disetujui
6) API gateway
- Batasi akses berdasarkan daftar API key atau client ID yang di-whitelist
- Tambahkan rate limit dan logging
- Untuk akses internal, gabungkan dengan IP allowlist
7) VPN perusahaan
- Hanya akun dan perangkat yang di-whitelist yang boleh konek
- Cocokkan dengan sertifikat perangkat atau posture check
- Pastikan daftar diperbarui saat ada karyawan baru atau perangkat diganti
Baca Juga: Scrum Adalah: Pengertian, Cara kerja, Manfaat
Kesimpulan
Whitelist adalah cara paling sederhana untuk mengontrol akses: pilih yang boleh, tolak sisanya. Dampaknya jelas pada permukaan serangan mengecil, jejak audit rapi, dan risiko salah akses turun. Penerapannya fleksibel, dari IP di firewall, aplikasi di endpoint, email di filter spam, sampai alamat dompet kripto. Kunci suksesnya ada di identitas yang kuat (IP, sertifikat, hash aplikasi) dan proses pemeliharaan yang disiplin. Tanpa perawatan, whitelist cepat basi dan malah menghambat kerja. Jadi pola terbaiknya: mulai dengan default deny, tetapkan kriteria yang tegas, log semua keputusan, dan jadwalkan review berkala. Jika itu dijalankan, whitelist jadi fondasi kontrol akses yang kokoh untuk tim kecil maupun lingkungan produksi skala besar.
Paket Internet Only mulai 160 ribuan ini simpel: kamu pilih yang perlu, tolak sisanya, seperti whitelist yang cuma kasih akses ke yang kamu izinkan. Tanpa embel-embel TV atau telepon, uangmu fokus ke kecepatan hingga 1 Gbps yang ngebut buat kerja, streaming, gaming, semuanya lancar. Setup ringkas, kontrol penuh, dan performa yang terasa tiap detik. Mau akses super cepat tanpa gangguan? Masukkan internet ini ke daftar izinmu.
