Zero trust adalah kerangka kerja yang mengasumsikan setiap koneksi dan titik akhir merupakan ancaman, baik secara eksternal maupun internal dalam keamanan jaringan perusahaan. Hal ini memungkinkan perusahaan membangun strategi TI menyeluruh untuk memenuhi kebutuhan keamanan lingkungan hybrid cloud. Zero trust menerapkan perlindungan adaptif dan berkelanjutan, dan menyediakan kemampuan untuk mengelola ancaman secara proaktif.

Dengan kata lain, pendekatan ini tidak pernah mempercayai pengguna, perangkat, atau koneksi untuk transaksi apa pun dan akan memverifikasi semua hal tersebut untuk setiap transaksi. Hal ini memungkinkan perusahaan untuk mendapatkan keamanan dan visibilitas di seluruh bisnis mereka dan menerapkan kebijakan keamanan yang konsisten, sehingga dapat mendeteksi dan merespons ancaman dengan lebih cepat.

Zero trust dimulai dalam inisiatif “BeyondCorp” yang dikembangkan oleh Google pada tahun 2010. Tujuan inisiatif ini adalah untuk mengamankan akses ke sumber daya berdasarkan identitas dan konteks, menjauh dari model keamanan berbasis perimeter tradisional. Strategi ini memungkinkan Google untuk menyediakan akses yang aman bagi karyawan ke aplikasi dan data perusahaan dari mana saja, menggunakan perangkat apa saja, tanpa memerlukan VPN.

Pada tahun 2014, analis Forrester Research, John Kindervag, menciptakan konsep zero trust untuk menggambarkan paradigma keamanan baru ini dalam sebuah laporan berjudul "The Zero Trust Model of Information Security." Dia mengusulkan model keamanan baru yang mengasumsikan bahwa tidak ada seorang pun—baik di dalam maupun di luar jaringan organisasi—yang dapat dipercaya tanpa verifikasi. Laporan tersebut menguraikan model zero trust berdasarkan dua prinsip utama: "Jangan pernah percaya, selalu verifikasi."

Semua pengguna, perangkat, dan aplikasi diasumsikan tidak terpercaya dan harus diverifikasi sebelum diberikan akses ke sumber daya. Prinsip hak istimewa yang paling sedikit berarti bahwa setiap pengguna atau perangkat diberikan tingkat akses minimum yang diperlukan untuk melakukan pekerjaan mereka, dan akses hanya diberikan atas dasar kebutuhan untuk mengetahui.

Sejak saat itu, konsep zero trust terus mendapatkan momentum, dengan banyak organisasi yang mengadopsi arsitekturnya untuk melindungi aset digital mereka dengan lebih baik dari ancaman siber. Ini mencakup berbagai prinsip dan teknologi keamanan yang digunakan untuk memperkuat keamanan dan mengurangi risiko pelanggaran keamanan.

• Zero trust berbasis identitas: Model ini didasarkan pada prinsip verifikasi identitas yang ketat, di mana setiap pengguna atau perangkat diautentikasi dan diotorisasi sebelum mengakses sumber daya apa pun. Model ini bergantung pada otentikasi multi-faktor, kontrol akses, dan prinsip-prinsip hak istimewa terendah.
• Zero trust berbasis jaringan: Model ini berfokus pada pengamanan perimeter jaringan dengan mensegmentasikan jaringan ke dalam segmen-segmen yang lebih kecil. Model ini bertujuan untuk mengurangi permukaan serangan dengan membatasi akses ke sumber daya tertentu untuk pengguna resmi saja. Model ini menggunakan teknologi seperti firewall, VPN dan sistem deteksi, dan pencegahan intrusi.
• Zero trust berbasis data: Model ini bertujuan untuk melindungi data sensitif dengan mengenkripsinya dan membatasi akses ke pengguna yang berwenang. Sistem ini menggunakan klasifikasi dan pelabelan data, pencegahan kehilangan data, dan teknologi enkripsi untuk melindungi data saat istirahat, transit, dan digunakan.
• Zero trust berbasis aplikasi: Model ini berfokus pada pengamanan aplikasi dan data terkait. Model ini mengasumsikan bahwa semua aplikasi tidak dipercaya dan harus diverifikasi sebelum mengakses data sensitif. Model ini menggunakan kontrol tingkat aplikasi—seperti proteksi runtime dan kontainerisasi—untuk melindungi dari serangan seperti injeksi kode dan malware.
• Zero trust berbasis perangkat: Model ini mengamankan perangkat itu sendiri (misalnya, ponsel pintar, laptop, dan perangkat IoT). Model ini mengasumsikan bahwa perangkat dapat disusupi dan harus diverifikasi sebelum mengakses data sensitif. Model ini menggunakan kontrol keamanan tingkat perangkat, seperti perlindungan titik akhir, enkripsi perangkat, dan kemampuan penghapusan jarak jauh.

Model-model ini dirancang untuk bekerja sama guna menciptakan arsitektur zero trust komprehensif yang dapat membantu organisasi mengurangi permukaan serangan, meningkatkan postur keamanan, dan meminimalkan risiko pelanggaran keamanan. Namun, penting untuk dicatat bahwa jenis spesifik model keamanan zero trust dan implementasinya dapat bervariasi tergantung pada ukuran organisasi, industri, dan kebutuhan keamanan spesifiknya.

Zero trust telah menjadi pendekatan populer untuk keamanan siber modern. Pendekatan ini telah digunakan oleh banyak organisasi untuk mengatasi ancaman serangan siber dan pelanggaran data yang terus meningkat di dunia yang kompleks dan saling terhubung saat ini. Sebagai hasilnya, banyak vendor teknologi telah mengembangkan produk dan layanan yang secara khusus dirancang untuk mendukung arsitektur zero trust.

Ada juga banyak kerangka kerja dan standar yang dapat digunakan organisasi untuk menerapkan prinsip-prinsip zero trust dalam strategi keamanan siber mereka dengan panduan dari Institut Standar dan Teknologi Nasional (NIST).

NIST adalah lembaga pemerintah non-regulator di Departemen Perdagangan AS, yang bertujuan membantu perusahaan untuk lebih memahami, mengelola, dan mengurangi risiko keamanan siber untuk melindungi jaringan dan data. Mereka telah menerbitkan beberapa panduan komprehensif yang sangat direkomendasikan tentang zero trust:

NIST SP 800-207, Zero Trust Architecture

NIST SP 800-207, Zero Trust Architecture (tautan berada di luar ibm.com) adalah publikasi pertama yang menetapkan dasar untuk arsitektur zero trust. Publikasi ini memberikan definisi zero trust sebagai seperangkat prinsip-prinsip panduan (bukan teknologi dan implementasi spesifik) dan termasuk contoh arsitektur zero trust.

NIST SP 800-207 menekankan pentingnya pemantauan berkelanjutan dan pengambilan keputusan berbasis risiko yang adaptif. Mereka merekomendasikan untuk menerapkan arsitektur zero trust dengan Tujuh Pilar Zero Trust (secara tradisional dikenal sebagai Tujuh Prinsip Zero Trust)

Tujuh Pilar Zero Trust

1. Semua sumber data dan layanan komputasi dianggap sebagai sumber daya.
2. Semua komunikasi diamankan terlepas dari lokasi jaringan.
3. Akses ke sumber daya perusahaan individu diberikan berdasarkan per sesi.
4. Akses ke sumber daya ditentukan oleh kebijakan dinamis—termasuk status yang dapat diamati dari identitas klien, aplikasi/layanan, dan aset yang diminta—dan dapat mencakup atribut perilaku dan lingkungan lainnya.
5. Perusahaan memantau dan mengukur integritas dan postur keamanan dari semua aset yang dimiliki dan terkait.
6. Semua autentikasi dan otorisasi sumber daya bersifat dinamis dan ditegakkan secara ketat sebelum akses diizinkan.
7. Perusahaan mengumpulkan sebanyak mungkin informasi tentang kondisi aset, infrastruktur jaringan, dan komunikasi saat ini dan menggunakannya untuk meningkatkan postur keamanannya.

Secara keseluruhan, NIST SP 800-207 mempromosikan pendekatan menyeluruh terhadap zero trust yang didasarkan pada prinsip-prinsip hak istimewa yang paling sedikit, segmentasi mikro, dan pemantauan berkelanjutan, yang mendorong organisasi untuk menerapkan pendekatan keamanan berlapis yang menggabungkan berbagai teknologi dan kontrol untuk melindungi dari ancaman.

NIST SP 1800-35B, Implementing a Zero Trust Architecture

NIST SP 1800-35B, Implementing a Zero Trust Architecture (tautan berada di luar ibm.com) adalah publikasi lain yang sangat direkomendasikan dari NIST dan terdiri dari dua topik utama:

1. Tantangan keamanan TI untuk sektor swasta dan publik.
2. Panduan "How-to" untuk mengimplementasikan arsitektur zero trust di lingkungan perusahaan dan alur kerja dengan pendekatan berbasis standar, menggunakan teknologi yang tersedia secara komersial.

Publikasi ini menghubungkan tantangan keamanan TI (berlaku untuk sektor swasta dan publik) dengan prinsip-prinsip dan komponen arsitektur zero trust sehingga organisasi dapat mendiagnosis sendiri kebutuhan mereka dengan benar. Mereka kemudian dapat mengadopsi prinsip dan komponen arsitektur zero trust untuk memenuhi kebutuhan organisasi mereka. Oleh karena itu, NIST SP 1800-35B tidak mengidentifikasi tipe spesifik dari model zero trust.

NIST memanfaatkan pengembangan iteratif untuk empat arsitektur zero trust yang telah mereka terapkan, sehingga memudahkan dan memberikan fleksibilitas untuk melakukan peningkatan bertahap dan memiliki kesinambungan dengan kerangka kerja zero trust yang terus berkembang dari waktu ke waktu.

Empat arsitektur zero trust yang diterapkan oleh NIST adalah sebagai berikut:

1. Penerapan berbasis agen perangkat/gateway.
2. Penerapan berbasis enclave.
3. Penerapan berbasis portal sumber daya.
4. Penggunaan sandbox aplikasi perangkat.

NIST memiliki kemitraan strategis dengan banyak organisasi teknologi (seperti IBM) yang berkolaborasi untuk tetap menjadi yang terdepan dalam perubahan dan ancaman yang muncul.

Kolaborasi ini memungkinkan IBM memprioritaskan pengembangan untuk memastikan solusi teknologi yang selaras dengan tujuh prinsip dan prinsip-prinsip zero trust, mengamankan dan melindungi sistem dan data klien IBM.

Pelajari lebih lanjut tentang pentingnya zero trust dalam  Laporan Biaya Pelanggaran Data 2022 dari IBM atau berkomunikasilah langsung dengan salah satu pakar zero trust IBM.

• Terapkan Strategi Zero Trust untuk transfer file Anda
• Pelatihan Prinsip Zero Trust Keamanan IBM
• NIST SP 800-207, Zero Trust Architecture (tautan berada di luar ibm.com)
• Publikasi Khusus NIST (SP) 1800-35B, Implementing a Zero Trust Architecture (tautan berada di luar ibm.com)