Diperbarui: 20 Juni 2024
Kontributor: Gregg Lindemulder, Matthew Kosinski
Zero trust adalah strategi keamanan untuk jaringan multicloud modern. Alih-alih berfokus pada perimeter jaringan, model keamanan zero trust memberlakukan kebijakan keamanan untuk setiap koneksi individu antara pengguna, perangkat, aplikasi, dan data.
Zero trust beroperasi dengan prinsip "jangan pernah percaya, selalu verifikasi" daripada memberikan kepercayaan implisit kepada semua pengguna di dalam jaringan. Pendekatan keamanan granular ini membantu mengatasi risiko keamanan siber yang ditimbulkan oleh pekerja jarak jauh, layanan hybrid cloud, perangkat milik pribadi, dan elemen lain dari jaringan perusahaan saat ini.
Makin banyak organisasi yang mengadopsi model zero trust untuk meningkatkan postur keamanan mereka seiring dengan bertambahnya permukaan serangan. Menurut laporan TechTarget Enterprise Strategy Group tahun 2024, lebih dari dua pertiga organisasi mengatakan bahwa mereka menerapkan kebijakan zero trust di seluruh perusahaan mereka.1
Persyaratan hukum dan peraturan yang berkembang juga mendorong adopsi zero trust. Sebagai contoh, perintah eksekutif tahun 2021 dari Presiden AS Joseph Biden mengarahkan semua lembaga federal AS untuk menerapkan arsitektur zero trust (ZTA).2
Dapatkan insight untuk mengelola risiko pelanggaran data dengan lebih baik dengan laporan Biaya Pelanggaran Data terbaru.
Daftar untuk mendapatkan X-Force® Threat Intelligence Index
Pendekatan zero trust penting karena model keamanan jaringan tradisional tidak lagi cukup. Strategi zero trust dirancang untuk jaringan yang lebih kompleks dan terdistribusi tinggi yang digunakan sebagian besar organisasi saat ini.
Selama bertahun-tahun, perusahaan berfokus pada perlindungan perimeter jaringan mereka dengan firewall dan kontrol keamanan lainnya. Pengguna yang berada di dalam perimeter jaringan dianggap dapat dipercaya dan diberikan akses gratis ke aplikasi, data, dan sumber daya.
Transformasi digital menghilangkan konsep tradisional perimeter jaringan. Saat ini, jaringan perusahaan melampaui lokasi on premises dan segmen jaringan. Ekosistem perusahaan modern mencakup lingkungan cloud, layanan seluler, pusat data, perangkat IoT, aplikasi software-as-a-service (SaaS), dan akses jarak jauh untuk karyawan, vendor, dan mitra bisnis.
Dengan permukaan serangan yang diperluas ini, perusahaan menjadi lebih rentan terhadap pelanggaran data, ransomware, ancaman orang dalam , dan jenis serangan siber lainnya. Perimeter jaringan bukan lagi garis yang jelas dan tidak terputus, dan pertahanan berbasis perimeter tidak dapat menutup setiap celah. Selain itu, aktor ancaman yang mendapatkan akses ke jaringan dapat memanfaatkan kepercayaan implisit untuk membuat gerakan lateral untuk menemukan dan menyerang sumber daya penting.
Pada tahun 2010, analis John Kindervag dari Forrester Research memperkenalkan konsep "zero trust" sebagai kerangka kerja untuk melindungi sumber daya perusahaan melalui kontrol akses yang ketat. Zero trust memindahkan fokus dari perimeter jaringan dan menempatkan kontrol keamanan di sekitar sumber daya individu.
Setiap titik akhir, pengguna, dan permintaan koneksi dianggap sebagai ancaman potensial. Alih-alih diberikan kebebasan saat mereka melewati perimeter, pengguna harus diautentikasi dan diotorisasi setiap kali mereka terhubung ke sumber daya baru. Validasi berkelanjutan ini membantu memastikan bahwa hanya pengguna yang sah yang dapat mengakses aset jaringan yang berharga.
Dalam arti luas, postur keamanan zero trust bekerja dengan terus memverifikasi dan mengautentikasi koneksi antara pengguna, aplikasi, perangkat, dan data.
Menerapkan strategi zero trust di seluruh organisasi dapat menjadi usaha yang kompleks. Ini tidak sekadar menginstal suatu solusi zero trust tunggal. Zero trust membutuhkan perencanaan dan pelaksanaan di berbagai area fungsional, termasuk kebijakan identitas dan akses, solusi keamanan dan alur kerja, otomatisasi, operasi, dan infrastruktur jaringan.
Banyak organisasi mengikuti kerangka kerja zero trust khusus untuk membangun arsitektur zero trust. Model yang sudah ada termasuk kerangka kerja Zero Trust dari Forrester, Institut Standar dan Teknologi Nasional (NIST) Special Publication (SP) 800-2073, dan Cybersecurity and Infrastructure Security Agency (CISA) Zero Trust Maturity Model (ZTMM).4
Meskipun organisasi dapat memilih dari berbagai kerangka kerja, sebagian besar strategi zero trust memiliki konsep utama yang sama: tiga prinsip zero trust, lima pilar zero trust, dan akses jaringan zero trust (ZTNA).
Spesifikasi teknis dari kerangka kerja dan model yang berbeda dapat bervariasi, tetapi semuanya mengikuti serangkaian prinsip inti zero trust:
- Pemantauan dan validasi berkelanjutan
- Prinsip hak istimewa terkecil
- Asumsikan pelanggaran
Zero trust membuat semua aset jaringan tidak dapat diakses secara default. Pengguna, perangkat, dan beban kerja harus melewati autentikasi dan validasi kontekstual yang berkesinambungan untuk mengakses sumber daya apa pun, dan mereka harus melewati pemeriksaan ini setiap kali mereka meminta koneksi.
Kebijakan kontrol akses dinamis menentukan apakah akan menyetujui permintaan berdasarkan titik data seperti hak istimewa pengguna, lokasi fisik, status kesehatan perangkat, intelijen ancaman, dan perilaku yang tidak wajar. Koneksi terus dipantau dan harus diautentikasi ulang secara berkala untuk melanjutkan sesi.
Dalam lingkungan zero trust, pengguna dan perangkat memiliki akses hak istimewa paling rendah ke sumber daya. Ini berarti mereka menerima tingkat izin minimum yang diperlukan untuk menyelesaikan tugas atau memenuhi peran mereka. Izin tersebut dicabut saat sesi selesai.
Mengelola izin dengan cara ini membatasi kemampuan aktor ancaman untuk mendapatkan akses ke area lain dari jaringan.
Dalam perusahaan zero trust, tim keamanan berasumsi bahwa peretas telah melanggar sumber daya jaringan. Tindakan yang sering digunakan tim keamanan untuk mengurangi serangan siber yang sedang berlangsung menjadi prosedur operasi standar. Tindakan ini mencakup segmentasi jaringan untuk membatasi ruang lingkup serangan; memantau setiap aset, pengguna, perangkat, dan proses di seluruh jaringan; serta merespons perilaku pengguna atau perangkat yang tidak biasa secara real time.
Model Keamanan Zero Trust CISA menguraikan4 lima pilar yang dapat difokuskan oleh organisasi selama implementasi zero trust:
- Identitas
- Perangkat
- Jaringan
- Aplikasi dan beban kerja
- Data
Mengautentikasi identitas pengguna dan memberikan akses hanya kepada pengguna tersebut ke sumber daya perusahaan yang telah disetujui adalah kemampuan dasar dari keamanan zero trust.
Alat bantu umum yang digunakan organisasi untuk tujuan ini termasuk sistem manajemen identitas dan akses (IAM), solusi sistem masuk tunggal (SSO), dan autentikasi multifaktor (MFA).
Setiap perangkat yang terhubung ke sumber daya jaringan harus sepenuhnya mematuhi kebijakan zero trust dan kontrol keamanan organisasi. Ini termasuk workstation, ponsel, server, laptop, perangkat IoT, printer dan lain-lain.
Organisasi zero trust memelihara inventaris lengkap dan terkini dari semua perangkat titik akhir resmi. Perangkat yang tidak sah ditolak dari mendapatkan akses jaringan.
Organisasi beralih dari segmentasi jaringan tradisional ke mikrosegmentasi dalam lingkungan zero trust. Sumber daya dan beban kerja dipisahkan ke dalam zona-zona yang lebih kecil dan lebih aman, yang membantu organisasi untuk mengatasi pelanggaran dan mencegah gerakan lateral dengan lebih baik. Pelaku ancaman bahkan tidak dapat melihat sumber daya yang tidak diizinkan untuk mereka gunakan.
Organisasi juga dapat menerapkan metode pencegahan ancaman jaringan lainnya, seperti mengenkripsi lalu lintas jaringan dan memantau perilaku pengguna dan entitas.
Seperti setiap elemen lain dalam model keamanan zero trust, aplikasi dan antarmuka pemrograman aplikasi (API) tidak memiliki kepercayaan implisit.
Alih-alih menyediakan akses statis satu kali ke aplikasi, organisasi beralih ke otorisasi dinamis yang membutuhkan validasi ulang terus-menerus untuk akses persisten. Organisasi terus memantau aplikasi yang berbicara satu sama lain untuk perilaku yang tidak biasa.
Di bawah model zero trust, organisasi mengkategorikan data mereka sehingga mereka dapat menerapkan kontrol akses yang ditargetkan dan kebijakan keamanan data untuk melindungi informasi.
Data yang sedang transit, digunakan, dan diam dilindungi oleh enkripsi dan otorisasi dinamis. Organisasi terus memantau pemrosesan data untuk aktivitas tidak wajar yang mungkin mengindikasikan pelanggaran data atau eksfiltrasi data sensitif.
Salah satu teknologi utama untuk menerapkan strategi zero trust adalah akses jaringan zero trust atau ZTNA. Seperti jaringan pribadi virtual (VPN), ZTNA menyediakan akses jarak jauh ke aplikasi dan layanan. Tidak seperti VPN, ZTNA menghubungkan pengguna hanya ke sumber daya yang mereka miliki izin untuk mengakses daripada menghubungkan mereka ke seluruh jaringan.
ZTNA adalah bagian penting dari model Secure Access Service Edge (SASE), yang memungkinkan perusahaan untuk menyediakan koneksi langsung, aman, latensi rendah antara pengguna dan sumber daya.
Karena arsitektur zero trust memberlakukan kontrol akses berdasarkan identitas, arsitektur ini dapat menawarkan perlindungan yang kuat untuk lingkungan hybrid dan multicloud . Beban kerja cloud yang terverifikasi diberikan akses ke sumber daya penting, sementara layanan dan aplikasi cloud yang tidak sah ditolak.
Terlepas dari sumber, lokasi, atau perubahan pada infrastruktur TI, zero trust secara konsisten dapat melindungi lingkungan cloud yang sibuk.
Organisasi sering kali perlu memberikan akses jaringan kepada vendor, kontraktor, penyedia layanan, dan pihak ketiga lainnya. Peretas memanfaatkan situasi ini untuk melakukan serangan rantai pasokan, di mana mereka menggunakan akun vendor dan beban kerja yang disusupi untuk membobol jaringan perusahaan.
Zero trust menerapkan autentikasi kontekstual yang berkelanjutan dan akses tanpa hak istimewa ke setiap entitas, bahkan yang berada di luar jaringan. Bahkan jika peretas melanggar akun vendor tepercaya, mereka tidak dapat mengakses sumber daya perusahaan yang paling sensitif.
Organisasi secara tradisional mengandalkan jaringan pribadi virtual (VPN) untuk menghubungkan karyawan jarak jauh dengan sumber daya jaringan. Namun, VPN tidak mudah diskalakan, juga tidak mencegah gerakan lateral.
Dalam model zero trust, bisnis dapat menggunakan solusi akses jaringan zero trust (ZTNA) sebagai gantinya. ZTNA memverifikasi identitas karyawan, kemudian memberi mereka akses hanya ke aplikasi, data, dan layanan yang mereka perlukan untuk melakukan pekerjaan mereka.
Karena terhubung ke internet, perangkat IoT menimbulkan risiko bagi keamanan perusahaan. Peretas sering kali menargetkan perangkat IoT karena mereka dapat menggunakannya untuk memasukkan malware ke sistem jaringan yang rentan.
Arsitektur zero trust terus melacak lokasi, status, dan kesehatan setiap perangkat IoT di seluruh organisasi. Setiap perangkat diperlakukan sebagai entitas yang berpotensi berbahaya. Seperti elemen lain dari lingkungan zero trust, perangkat IoT tunduk pada kontrol akses, autentikasi, dan komunikasi terenkripsi dengan sumber daya jaringan lainnya.
Melindungi dan mengelola identitas pelanggan, tenaga kerja, dan hak istimewa di seluruh hybrid cloud yang tertanam AI
Lindungi infrastruktur dan jaringan Anda dari ancaman keamanan siber yang canggih dengan keterampilan, keahlian, dan solusi modern yang telah terbukti.
Melindungi data di seluruh hybrid cloud dan menyederhanakan persyaratan kepatuhan.
Sesi design thinking selama 3 jam tanpa biaya, baik secara virtual maupun tatap muka, dengan arsitek dan konsultan senior IBM Security ini akan membantu Anda memahami lingkungan keamanan siber dan memprioritaskan berbagai inisiatif.
Kantor CIO IBM beralih ke IBM Security Verify untuk autentikasi digital generasi berikutnya di seluruh tenaga kerja dan kliennya.
Pelajari cara meningkatkan keamanan data dan postur kepatuhan Anda meskipun lingkungan IT semakin terdesentralisasi dan kompleks.
Catatan kaki
Semua tautan berada di luar ibm.com
1 Tren dalam Zero Trust. Grup Strategi Perusahaan oleh TechTarget. Maret 2024
2 Perintah Eksekutif tentang Peningkatan Keamanan Siber Bangsa. The White House. 12 Mei 2021.
3 NIST SP800-207: Arsitektur Zero Trust. NIST. Agustus 2023.
4 Model Kematangan Zero Trust CISA. CISA. April 2023.