Zero Trust Security: Konsep dan Implementasi dalam Infrastruktur IT

Dengan berkembangnya dunia teknologi, lanskap ancaman siber juga turut berkembang. Dalam satu tahunnya saja, Indonesia memiliki jumlah 976 juta kasus insiden siber pada tahun 2022, menurut data BSSN (Badan Siber dan Sandi Negara). Angka ini terus naik menjadi 3,64 miliar kasus pada tahun 2025.

Model keamanan tradisional yang berfokus pada perimeter sudah tidak lagi memadai. Model ini mengasumsikan bahwa semua yang berada di dalam jaringan internal adalah tepercaya, sementara semua yang berasal dari luar adalah tidak terpercaya. Asumsi ini berbahaya karena banyak pelanggaran data terjadi akibat kejahatan siber yang berhasil menembus perimeter dan bergerak bebas di dalam jaringan sebagai “orang dalam”.

Oleh karena itu, munculah sebuah konsep revolusioner baru yaitu, “Zero Trust Security”. Dengan konsep: “Never trust, always verify”, pendekatan ini mengasumsikan bahwa setiap pengguna, perangkat, atau aplikasi merupakan sebuah ancaman.

Prinsip Utama Zero Trust

Sebelum masuk ke dalam implementasi, hal yang perlu diketahui adalah Zero Trust bukanlah sebuah produk atau teknologi tunggal yang tinggal dipakai, melainkan sebuah framework (kerangka kerja) strategi keamanan. Anda tetap harus merancang dan mengimplementasi hasilnya sendiri.

Pembangunan Zero Trust Security biasanya melibatkan permintaan akses ke sumber daya, apa pun lokasinya sehingga terdapat proses verifikasi yang ketat. Verifikasi ini biasanya didasari oleh beberapa prinsip utama zero trust:

Monitoring dan Validasi Berkelanjutan

Prinsip Zero Trust tidak hanya berlaku di awal, tetapi juga sepanjang sesi akses. Setiap aktivitas dan koneksi dipantau secara terus-menerus. Jika ada perilaku yang mencurigakan, sistem dapat langsung menghentikan akses tersebut. Ini memastikan bahwa jika akun atau perangkat disusupi, kerusakan bisa segera dibatasi karena penyerang harus kembali melewati proses verifikasi yang ketat.

Konsep Least Privilege

Prinsip "least privilege access" adalah bagian fundamental dari Zero Trust. Ini berarti memberikan pengguna hanya hak akses yang mereka butuhkan untuk menyelesaikan tugasnya, tidak lebih. Bayangkan seorang jenderal yang hanya memberikan informasi kepada tentara sesuai kebutuhan. Hal ini meminimalkan paparan setiap pengguna terhadap bagian-bagian sensitif dari jaringan.

Menerapkan least privilege memerlukan pengelolaan izin pengguna yang sangat teliti. Sistem keamanan tradisional seperti VPN tidak cocok untuk pendekatan ini, karena begitu pengguna terhubung ke VPN, mereka sering kali mendapatkan akses ke seluruh jaringan yang terhubung, tanpa pembatasan yang spesifik.

Device Access Control

Selain mengontrol akses pengguna, Zero Trust juga menerapkan kontrol ketat pada akses perangkat. Sistem Zero Trust harus memantau perangkat apa saja yang mencoba mengakses jaringan, memastikan setiap perangkat sah, dan menilai keamanannya untuk memastikan belum ada yang disusupi. Hal ini semakin memperkecil permukaan serangan (attack surface) pada jaringan.

Microsegmentation

Jaringan Zero Trust memanfaatkan microsegmentation. Praktik ini membagi perimeter keamanan menjadi zona-zona kecil yang terisolasi. Misalnya, sebuah jaringan dengan banyak file di satu pusat data bisa dibagi menjadi puluhan zona yang terpisah dan aman. Pengguna atau program yang memiliki akses ke satu zona tidak akan bisa mengakses zona lain tanpa otorisasi terpisah. Ini seperti memiliki banyak ruangan terkunci di dalam satu gedung, di mana setiap kunci hanya bisa membuka satu pintu.

Mencegah Pergerakan Lateral

Dalam keamanan jaringan, "pergerakan lateral" adalah istilah ketika penyerang bergerak di dalam jaringan setelah berhasil masuk. Pergerakan ini sulit dideteksi karena penyerang sudah menyebar ke bagian lain dari jaringan.

Zero Trust dirancang untuk menahan penyerang agar tidak bisa bergerak secara lateral. Karena akses dalam Zero Trust tersegmentasi dan harus diverifikasi ulang secara berkala, penyerang tidak bisa bebas berpindah ke segmen mikro lainnya di dalam jaringan. Begitu keberadaan penyerang terdeteksi, perangkat atau akun yang disusupi dapat langsung dikarantina, memutus akses lebih lanjut.

Multi-factor authentication (MF)

Otentikasi Multi-Faktor (MFA) adalah nilai inti dari keamanan Zero Trust. MFA mengharuskan lebih dari satu bukti untuk mengotentikasi pengguna; sekadar memasukkan kata sandi saja tidak cukup. Contoh umum dari MFA adalah otentikasi 2-faktor (2FA) yang digunakan pada platform daring seperti Google. Selain memasukkan kata sandi, pengguna juga harus memasukkan kode yang dikirim ke perangkat lain (misalnya, ponsel), sehingga memberikan dua bukti bahwa mereka adalah orang yang mereka klaim.

Contoh Implementasi Zero Trust

Idealnya, seluruh organisasi, perusahaan, UMKM dan lainnya yang mengandalkan jaringan dan menyimpan data digital perlu mempetimbangkan Zero Trust. Namun, suda ada beberapa skenario umum di mana penerapan Zero Trust menjadi solusi yang sangat efektif dan dibutuhkan.

1. Mengganti atau Melengkapi VPN

Banyak organisasi mengandalkan VPN untuk melindungi data mereka. Namun, seperti yang sudah dibahas, VPN sering kali tidak ideal untuk menghadapi risiko keamanan modern. Zero Trust menawarkan pendekatan yang jauh lebih canggih dengan memverifikasi setiap permintaan akses secara individual, alih-alih memberikan akses penuh begitu saja setelah terhubung ke VPN.

2. Mendukung Pekerjaan Jarak Jauh (Remote Work) dengan Aman

Pandemi membuat kerja jarak jauh menjadi norma baru. Sayangnya, VPN seringkali menjadi hambatan karena menciptakan "kemacetan" dan memperlambat produktivitas. Zero Trust mampu memberikan kontrol akses yang aman dari mana saja, memastikan karyawan dapat bekerja dari rumah tanpa mengorbankan keamanan atau kecepatan jaringan.

3. Mengontrol Akses Cloud dan Multi-Cloud

Di era digital, data tidak lagi hanya disimpan di server fisik. Data tersebar di berbagai layanan cloud. Zero Trust sangat cocok untuk lingkungan ini karena ia memverifikasi setiap permintaan, tanpa memandang lokasi sumber atau tujuannya. Selain itu, Zero Trust dapat membantu mencegah penggunaan layanan cloud yang tidak resmi (sering disebut "shadow IT") dengan mengontrol atau memblokir akses ke aplikasi yang tidak disetujui.

4. Mengamankan Akses Pihak Ketiga dan Kontraktor

Organisasi sering kali harus memberikan akses kepada pihak eksternal, seperti kontraktor atau mitra bisnis. Pihak-pihak ini biasanya menggunakan perangkat yang tidak dikelola oleh tim IT internal. Zero Trust memecahkan masalah ini dengan cepat, memungkinkan pemberian hak akses terbatas (least-privilege) yang disesuaikan hanya untuk kebutuhan mereka. Dengan begitu, Anda tidak perlu khawatir mereka memiliki akses ke data yang seharusnya tidak mereka lihat.

5. Mempercepat Proses Onboarding Karyawan Baru

Bagi perusahaan yang sedang berkembang pesat dan sering merekrut karyawan baru, Zero Trust adalah pilihan yang tepat. Jaringan Zero Trust memfasilitasi proses onboarding pengguna baru dengan cepat dan efisien. Sebaliknya, VPN mungkin perlu penambahan kapasitas server yang memakan waktu dan biaya untuk mengakomodasi jumlah pengguna baru yang besar.

Pada akhirnya, Zero Trust Security merupakan lebih dari sekadar teknologi, tetapi sebuah konsep yang jauh lebih relevan dalam lanskap IT modern. Dengan beragamnya perangkat dan data yang tersebar di mana-mana, menganggap bahwa tidak ada yang bisa sepenuhnya dipercaya adalah pendekatan yang paling aman. Dengan menerapkan prinsip Zero Trust, sebuah organisasi tidak hanya memperkecil kemungkinan serangan dan mengurangi dampak saat terjadi pelanggaran, tetapi juga secara efektif melawan ancaman seperti pencurian kredensial, phishing, dan kerentanan pada perangkat IoT. Singkatnya, Zero Trust bukan hanya model keamanan yang lebih baik, melainkan keharusan untuk melindungi aset digital di era yang serba terhubung ini.

Source: Cloudflare Post