Apa itu Zero Trust? Prinsip, Manfaat, dan Implementasi

Diperbarui: 20 Juni 2024

Kontributor: Gregg Lindemulder, Matthew Kosinski

Apa yang dimaksud dengan zero-trust?

Zero trust adalah strategi keamanan untuk jaringan multicloud modern. Alih-alih berfokus pada perimeter jaringan, model keamanan zero trust memberlakukan kebijakan keamanan untuk setiap koneksi individu antara pengguna, perangkat, aplikasi, dan data.

Zero trust beroperasi dengan prinsip “jangan percaya, selalu verifikasi” daripada memberikan kepercayaan implisit kepada semua pengguna di dalam jaringan. Pendekatan keamanan granular ini membantu mengatasi risiko keamanan siber yang ditimbulkan oleh pekerja jarak jauh, layanan hybrid cloud, perangkat pribadi, dan elemen-elemen lain dalam jaringan perusahaan saat ini.

Makin banyak organisasi yang mengadopsi model zero trust untuk meningkatkan postur keamanan mereka seiring dengan bertambahnya permukaan serangan. Menurut laporan TechTarget Enterprise Strategy Group tahun 2024, lebih dari dua pertiga organisasi mengatakan bahwa mereka menerapkan kebijakan zero trust di seluruh perusahaan mereka.¹

Persyaratan hukum dan peraturan yang berkembang juga mendorong adopsi zero trust. Sebagai contoh, perintah eksekutif tahun 2021 dari Presiden AS Joseph Biden mengarahkan semua lembaga federal AS untuk menerapkan arsitektur zero trust (ZTA).²

Biaya Pelanggaran Data

Dapatkan insight untuk mengelola risiko pelanggaran data dengan lebih baik dengan laporan Biaya Pelanggaran Data terbaru.

Konten terkait

Daftar untuk mendapatkan X-Force® Threat Intelligence Index

Mengapa zero trust itu penting

Pendekatan zero trust penting karena model keamanan jaringan tradisional tidak lagi cukup. Strategi zero trust dirancang untuk jaringan yang lebih kompleks dan terdistribusi tinggi yang digunakan sebagian besar organisasi saat ini.

Selama bertahun-tahun, perusahaan berfokus pada perlindungan perimeter jaringan mereka dengan firewall dan kontrol keamanan lainnya. Pengguna yang berada di dalam perimeter jaringan dianggap dapat dipercaya dan diberikan akses gratis ke aplikasi, data, dan sumber daya.

Transformasi digital menghilangkan konsep tradisional perimeter jaringan. Saat ini, jaringan perusahaan melampaui lokasi on premises dan segmen jaringan. Ekosistem perusahaan modern mencakup lingkungan cloud, layanan mobile, pusat data, perangkat IoT, aplikasi perangkat lunak sebagai layanan (SaaS), dan akses jarak jauh untuk karyawan, vendor, dan mitra bisnis.

Dengan permukaan serangan yang diperluas ini, perusahaan menjadi lebih rentan terhadap pelanggaran data, ransomware, ancaman orang dalam, dan jenis serangan siber lainnya. Perimeter jaringan tidak lagi menjadi garis yang jelas dan tidak terputus, dan pertahanan berbasis perimeter tidak dapat menutup setiap celah. Selain itu, pelaku ancaman yang mendapatkan akses ke jaringan dapat memanfaatkan kepercayaan implisit untuk melakukan gerakan lateral untuk menemukan dan menyerang sumber daya penting.

Pada tahun 2010, analis John Kindervag dari Forrester Research memperkenalkan konsep “zero trust” sebagai kerangka kerja untuk melindungi sumber daya perusahaan melalui kontrol akses yang ketat. Zero trust memindahkan fokus dari perimeter jaringan dan menempatkan kontrol keamanan di sekitar sumber daya individu.

Setiap titik akhir, pengguna, dan permintaan koneksi dianggap sebagai ancaman potensial. Alih-alih diberikan kebebasan saat mereka melewati perimeter, pengguna harus diautentikasi dan diotorisasi setiap kali mereka terhubung ke sumber daya baru. Validasi berkelanjutan ini membantu memastikan bahwa hanya pengguna yang sah yang dapat mengakses aset jaringan yang berharga.

Bagaimana cara kerja zero trust

Dalam arti luas, postur keamanan zero trust bekerja dengan terus memverifikasi dan mengautentikasi koneksi antara pengguna, aplikasi, perangkat, dan data.

Menerapkan strategi zero trust di seluruh organisasi dapat menjadi upaya yang kompleks. Ini tidak sekadar menginstal suatu solusi zero trust tunggal. Zero trust membutuhkan perencanaan dan pelaksanaan di berbagai area fungsional, termasuk kebijakan identitas dan akses, solusi keamanan dan alur kerja, otomatisasi, operasi, dan infrastruktur jaringan.

Banyak organisasi mengikuti kerangka kerja zero trust khusus untuk membangun arsitektur zero trust. Model yang sudah ada termasuk kerangka kerja Zero Trust dari Forrester, Institut Standar dan Teknologi Nasional (NIST) Special Publication (SP) 800-2073, dan Cybersecurity and Infrastructure Security Agency (CISA) Zero Trust Maturity Model(ZTMM).⁴

Meskipun organisasi dapat memilih dari berbagai kerangka kerja, sebagian besar strategi zero trust memiliki konsep utama yang sama: tiga prinsip zero trust, lima pilar zero trust, dan akses jaringan zero trust (ZTNA).

Apa tiga prinsip zero trust?

Spesifikasi teknis dari kerangka kerja dan model yang berbeda dapat bervariasi, tetapi semuanya mengikuti serangkaian prinsip inti zero trust:

Pemantauan dan validasi berkelanjutan
Prinsip akses minimum
Asumsikan pelanggaran

Pemantauan dan validasi berkelanjutan

Zero trust membuat semua aset jaringan tidak dapat diakses secara default. Pengguna, perangkat, dan beban kerja harus melewati autentikasi dan validasi kontekstual yang berkesinambungan untuk mengakses sumber daya apa pun, dan mereka harus melewati pemeriksaan ini setiap kali mereka meminta koneksi.

Kebijakan kontrol akses dinamis menentukan apakah akan menyetujui permintaan berdasarkan titik data seperti hak istimewa pengguna, lokasi fisik, status kesehatan perangkat, intelijen ancaman, dan perilaku yang tidak wajar. Koneksi terus dipantau dan harus diautentikasi ulang secara berkala untuk melanjutkan sesi.

Prinsip hak istimewa terkecil

Dalam lingkungan zero trust, pengguna dan perangkat memiliki akses hak istimewa paling rendah ke sumber daya. Ini berarti mereka menerima tingkat izin minimum yang diperlukan untuk menyelesaikan tugas atau memenuhi peran mereka. Izin tersebut dicabut saat sesi selesai.

Mengelola izin dengan cara ini membatasi kemampuan aktor ancaman untuk mendapatkan akses ke area lain dari jaringan.

Asumsikan pelanggaran

Dalam perusahaan zero trust, tim keamanan berasumsi bahwa peretas telah melanggar sumber daya jaringan. Tindakan yang sering digunakan tim keamanan untuk mengurangi serangan siber yang sedang berlangsung menjadi prosedur operasi standar. Tindakan ini mencakup segmentasi jaringan untuk membatasi ruang lingkup serangan; memantau setiap aset, pengguna, perangkat, dan proses di seluruh jaringan; serta merespons perilaku pengguna atau perangkat yang tidak biasa secara real time.

Apa lima pilar zero trust?

Model Keamanan Zero Trust CISA menguraikan⁴ lima pilar yang dapat difokuskan oleh organisasi selama implementasi zero trust:

Identitas
Perangkat
Jaringan
Aplikasi dan beban kerja
Data

Identitas

Mengautentikasi identitas pengguna dan memberikan akses hanya kepada pengguna tersebut ke sumber daya perusahaan yang telah disetujui adalah kemampuan dasar dari keamanan zero trust.

Alat bantu umum yang digunakan organisasi untuk tujuan ini termasuk sistem manajemen identitas dan akses (IAM), solusi masuk tunggal (SSO), dan autentikasi multifaktor (MFA).

Perangkat

Setiap perangkat yang terhubung ke sumber daya jaringan harus sepenuhnya mematuhi kebijakan zero trust dan kontrol keamanan organisasi. Ini termasuk workstation, ponsel, server, laptop, perangkat IoT, printer dan lain-lain.

Organisasi zero trust memelihara inventaris lengkap dan terkini dari semua perangkat titik akhir resmi. Perangkat yang tidak sah tidak mendapatkan akses jaringan.

Jaringan

Organisasi beralih dari segmentasi jaringan tradisional ke mikrosegmentasi dalam lingkungan zero trust. Sumber daya dan beban kerja dipisahkan ke dalam zona-zona yang lebih kecil dan lebih aman, yang membantu organisasi untuk mengatasi pelanggaran dan mencegah gerakan lateral dengan lebih baik. Pelaku ancaman bahkan tidak dapat melihat sumber daya yang tidak diizinkan untuk mereka gunakan.

Organisasi juga dapat menerapkan metode pencegahan ancaman jaringan lainnya, seperti mengenkripsi lalu lintas jaringan dan memantau perilaku pengguna dan entitas.

Aplikasi dan beban kerja

Seperti setiap elemen lain dalam model keamanan zero trust, aplikasi dan antarmuka pemrograman aplikasi (API) tidak memiliki kepercayaan implisit.

Alih-alih menyediakan akses statis satu kali ke aplikasi, organisasi beralih ke otorisasi dinamis yang membutuhkan validasi ulang terus-menerus untuk akses persisten. Organisasi terus memantau aplikasi yang berbicara satu sama lain untuk perilaku yang tidak biasa.

Data

Di bawah model zero trust, organisasi mengkategorikan data mereka sehingga mereka dapat menerapkan kontrol akses yang ditargetkan dan kebijakan keamanan data untuk melindungi informasi.

Data dalam transit, data aktif, dan data tidak aktif dilindungi oleh enkripsi dan otorisasi dinamis. Organisasi terus memantau pemrosesan data untuk aktivitas tidak wajar yang mungkin mengindikasikan pelanggaran data atau eksfiltrasi data sensitif.

Apa itu akses jaringan zero trust (ZTNA)?

Salah satu teknologi utama untuk menerapkan strategi zero trust adalah akses jaringan zero trust atau ZTNA. Seperti jaringan pribadi virtual (VPN), ZTNA menyediakan akses jarak jauh ke aplikasi dan layanan. Tidak seperti VPN, ZTNA menghubungkan pengguna hanya ke sumber daya yang mereka miliki izin untuk mengakses daripada menghubungkan mereka ke seluruh jaringan.

ZTNA adalah bagian penting dari model Secure Access Service Edge (SASE), yang memungkinkan perusahaan untuk menyediakan koneksi langsung, aman, dan rendah latensi antara pengguna dan sumber daya.

Contoh penggunaan untuk zero trust

Keamanan multicloud

Karena arsitektur zero trust memberlakukan kontrol akses berdasarkan identitas, arsitektur ini dapat menawarkan perlindungan yang kuat untuk lingkungan hybrid dan multicloud . Beban kerja cloud yang terverifikasi diberikan akses ke sumber daya penting, sementara layanan dan aplikasi cloud yang tidak sah ditolak.

Terlepas dari sumber, lokasi, atau perubahan pada infrastruktur IT, zero trust secara konsisten dapat melindungi lingkungan cloud yang sibuk.

Keamanan rantai pasokan

Organisasi sering kali perlu memberikan akses jaringan kepada vendor, kontraktor, penyedia layanan, dan pihak ketiga lainnya. Peretas memanfaatkan situasi ini untuk melakukan serangan rantai pasokan, di mana mereka menggunakan akun vendor dan beban kerja yang disusupi untuk membobol jaringan perusahaan.

Zero trust menerapkan autentikasi kontekstual yang berkelanjutan dan akses tanpa hak istimewa ke setiap entitas, bahkan yang berada di luar jaringan. Bahkan jika peretas melanggar akun vendor tepercaya, mereka tidak dapat mengakses sumber daya perusahaan yang paling sensitif.

Akses jarak jauh untuk karyawan

Organisasi secara tradisional mengandalkan jaringan pribadi virtual (VPN) untuk menghubungkan karyawan jarak jauh dengan sumber daya jaringan. Namun, VPN tidak mudah diskalakan, juga tidak mencegah gerakan lateral.

Dalam model zero trust, bisnis dapat menggunakan solusi akses jaringan zero trust (ZTNA) sebagai gantinya. ZTNA memverifikasi identitas karyawan, kemudian memberi mereka akses hanya ke aplikasi, data, dan layanan yang diperlukan untuk melakukan pekerjaan mereka.

Visibilitas IoT

Karena perangkat IoT terhubung ke internet, mereka menimbulkan risiko bagi keamanan perusahaan. Peretas sering kali menargetkan perangkat IoT karena mereka dapat menggunakannya untuk memasukkan malware ke sistem jaringan yang rentan.

Arsitektur zero trust terus melacak lokasi, status, dan kesehatan setiap perangkat IoT di seluruh organisasi. Setiap perangkat diperlakukan sebagai entitas yang berpotensi berbahaya. Seperti elemen lain dari lingkungan zero trust, perangkat IoT tunduk pada kontrol akses, autentikasi, dan komunikasi terenkripsi dengan sumber daya jaringan lainnya.

Solusi

Solusi Manajemen Identitas dan Akses IBM Verify

Melindungi dan mengelola identitas pelanggan, tenaga kerja, dan hak istimewa di seluruh hybrid cloud dengan AI tertanam.

Jelajahi IBM Verify

Layanan keamanan jaringan dan infrastruktur terkelola

Lindungi infrastruktur dan jaringan Anda dari ancaman keamanan siber yang canggih dengan keterampilan, keahlian, dan solusi modern yang telah terbukti.

Jelajahi layanan infrastruktur dan keamanan jaringan yang dikelola

Solusi keamanan dan perlindungan data

Melindungi data di seluruh hybrid cloud dan menyederhanakan persyaratan kepatuhan.

Jelajahi solusi keamanan data

Sumber daya

Lokakarya Framing dan Penemuan IBM Security

Sesi design thinking selama 3 jam tanpa biaya, baik secara virtual maupun tatap muka, dengan arsitek dan konsultan senior IBM Security ini akan membantu Anda memahami lingkungan keamanan siber dan memprioritaskan berbagai inisiatif.

Kantor CIO IBM

Kantor CIO IBM beralih ke IBM Verify untuk autentikasi digital generasi berikutnya di seluruh tenaga kerja dan kliennya.

Lima kesalahan umum dalam keamanan data yang harus dihindari

Pelajari cara meningkatkan keamanan data dan postur kepatuhan Anda meskipun lingkungan IT semakin ter desentralisasi dan kompleks.

Ambil langkah selanjutnya

IBM Verify adalah platform IAM terkemuka yang menyediakan kemampuan yang didukung AI untuk mengelola tenaga kerja dan kebutuhan pelanggan Anda. Menyatukan silo identitas, mengurangi risiko serangan berbasis identitas dan menyediakan autentikasi modern, termasuk kemampuan tanpa kata sandi.

Jelajahi Verify

Coba Verify selama 90 hari

Catatan kaki

Semua tautan berada di luar ibm.com.

¹ Trends in Zero-Trust. Enterprise Strategy Group oleh TechTarget. Maret 2024.

² Executive Order on Improving the Nation’s Cybersecurity. Gedung Putih. 12 Mei 2021.

³ NIST SP800-207: Zero Trust Architecture. NIST. Agustus 2020.

⁴ CISA Zero Trust Maturity Model CISA. CISA. April 2023.