"Zero Trust" bisa dibilang merupakan kalimat yang paling sering muncul dalam dunia keamanan digital saat ini. Istilah ini muncul di berbagai rapat pemangku kepentingan, ditampilkan dalam setiap materi pemasaran, dan bahkan diwajibkan dalam berbagai instruksi standar yang dikeluarkan oleh pemerintah.
Popularitasnya yang melonjak membuat maknanya sering kabur atau bahkan salah ditafsirkan. Hal ini menciptakan kesenjangan yang berbahaya.
Meskipun semua orang membicarakan Zero Trust, hanya sedikit organisasi yang benar-benar menerapkannya.
Mayoritas organisasi masih beroperasi dengan model kuno implicit trust (kepercayaan implisit), sebuah model di mana ketika pengguna atau perangkat yang sudah berada "di dalam jaringan," mereka dianggap otomatis dapat dipercaya.
Kesenjangan antara bahasa pemasaran Zero Trust dan praktik kepercayaan implisit ini menciptakan kerentanan yang tidak terlihat, ruang yang ideal bagi penyerang untuk bergerak tanpa terdeteksi.
Arti Zero Trust yang Sebenarnya
Mari kita lihat definisi awal dari Zero Trust. National Institute of Standards and Technology (NIST), dalam publikasinya mendefinisikan Zero Trust bukan sebagai produk yang dapat dibeli, melainkan sebagai "kumpulan konsep dan gagasan" untuk keamanan arsitektur digital.
Prinsip utamanya sederhana: Jangan langsung percaya, selalu lakukan verifikasi (Never trust, always verify). Prinsip ini berlaku untuk setiap pengguna, perangkat, aplikasi, dan koneksi jaringan.
Tidak ada entitas yang dipercaya secara default, bahkan jika entitas tersebut sudah menjadi bagian dalam jaringan.
Cybersecurity and Infrastructure Agency (CISA) memberikan pandangan lebih lanjut mengenai Zero Trust melalui tiga prinsip intinya:
- Validasi Secara Eksplisit: Selalu lakukan otentikasi dan otorisasi berdasarkan semua titik data yang tersedia, termasuk identitas, lokasi, kesehatan perangkat, dsb.
- Gunakan Akses Hak Terendah (Least Privilege): Berikan akses sesuai kebutuhan dan secukupnya bagi pengguna untuk melakukan tugas mereka, tidak lebih.
- Asumsikan Pelanggaran: Beroperasi seolah-olah penyerang sudah berada di dalam jaringan Anda. Ini berarti melakukan segmentasi akses secara ketat dan memantau semua aktivitas untuk mencegah pergerakan penyusup.
Zero Trust bukanlah sebuah alat, melainkan sebuah perubahan mendasar dalam strategi keamanan infrastruktur digital.
Mengapa Zero Trust Sering Gagal Diterapkan?
Jika prinsipnya begitu sederhana, mengapa sangat sedikit organisasi yang memiliki program keamanan berbasis Zero Trust yang matang?
Alasannya tidak lain adalah karena implementasi sering kali gagal ketika dipertemukan dengan sistem lama (legacy systems) dan, yang lebih penting, kebiasaan lama.
Miskonsepsi "Sebuah Produk Keamanan"
Kegagalan yang paling umum terjadi disebabkan oleh penyederhanaan yang berlebihan. Organisasi berpikir bahwa, "Kami sudah membeli alat Otentikasi Multi-Faktor (MFA), jadi kami sudah Zero Trust."
Meskipun MFA adalah komponen kritis, Model Zero Trust dari CISA menunjukkan bahwa MFA hanyalah satu bagian dari satu pilar (Identitas). Ia tidak dapat mengatasi kesehatan perangkat, segmentasi jaringan, atau beban kerja aplikasi.
Kebiasaan Berbasis Perimeter
Selama beberapa dekade, keamanan digital dibangun menggunakan prinsip tembok benteng. Dimana ia diharapkan dapat menangkal seluruh akses yang tidak diinginkan dari luar, dan kebiasaan ini masih bertahan secara internal.
Namun sayangnya, sebagian besar jaringan bersifat "datar", yang berarti begitu hacker berhasil menembus tembok (misalnya, dengan kredensial curian), mereka dapat bergerak bebas di dalam untuk mencari data yang berharga.
Sistem Warisan (Legacy Systems)
Banyak organisasi bergantung pada aplikasi kritis yang tidak dirancang untuk kompatibel dengan verifikasi modern dan tidak dapat disegmentasi dengan mudah.
Hambatan Budaya
Zero Trust adalah hasil dari kerja tim. Untuk mencapai hasil yang diinginkan, dibutuhkan kerja sama antara tim jaringan, identitas, operasional, dan keamanan, kelompok yang sering kali bekerja secara terpisah (silo).
Tanpa adanya kerja sama lintas tim, produktivitas akan terhambat ketika kenyamanan dan kecepatan berbenturan dengan langkah-langkah keamanan baru.
Zero Trust dalam Operasional Bisnis
Ketika diterapkan dengan benar, Zero Trust bukanlah kegiatan yang dilakukan hanya sekali setahun, melainkan siklus verifikasi yang berkelanjutan.
CISA memecah ini menjadi operasional praktis sehari-hari di lima pilar:
- Identitas: Pengguna tidak hanya login sekali. Setiap permintaan akses berisiko tinggi dievaluasi ulang berdasarkan identitas dan konteks. Misalnya, "Mengapa pengguna ini tiba-tiba mengakses database keuangan dari perangkat yang tidak dikelola pada pukul 3 pagi?"
- Perangkat: Tidak ada perangkat yang dipercaya. Sebelum dapat terhubung, lakukan verifikasi: Apakah sistem operasinya sudah diperbarui? Apakah perlindungan endpoint-nya berjalan?
- Jaringan: Jaringan disegmentasi atau di-mikrosegmentasi. Ini menciptakan penghalang internal, sehingga jika hacker dapat mengakses satu server, mereka tidak dapat "melihat" atau mengakses server berikutnya.
- Aplikasi & Beban Kerja: Keamanan bukan hanya untuk pengguna; ini juga untuk perangkat yang digunakan. Akses antar layanan mikro atau aplikasi yang berbeda perlu diotentikasi dan dipantau untuk mencegah hacker menggunakan satu aplikasi sebagai pintu masuk.
- Data: Data diklasifikasikan berdasarkan sensitivitas, dan kebijakan akses dikaitkan langsung dengan data itu sendiri, memastikan hanya orang yang tepat yang dapat mengakses informasi yang tepat.
Dalam skenario akses jarak jauh, akses pengguna haruslah divalidasi secara terus-menerus.
Login mereka diverifikasi, perangkat mereka diperiksa, dan mereka hanya diberikan akses ke aplikasi spesifik yang mereka butuhkan untuk pekerjaan mereka, selama durasi yang mereka butuhkan saja.
Zero Trust Itu Sederhana
Zero Trust memang bisa terasa menakutkan, seolah menyarankan perubahan total seluruh model infrastruktur yang ada.
Baik NIST maupun CISA menyajikan Zero Trust sebagai sebuah perjalanan dengan langkah-langkah bertahap.
Tujuannya adalah membantu bisnis memulai dari langkah kecil, sering melakukan verifikasi, dan bertumbuh seiring waktu.
Atau, bisnis Anda dapat mulai dengan berfokus pada satu area berisiko tinggi, seperti akses jarak jauh atau melindungi lingkungan pengembang.
Dengan berfokus pada verifikasi yang konsisten, tim IT dapat membangun kematangan secara bertahap dan menjadikan Zero Trust sebagai sebuah disiplin dalam operasional yang rutin.
Siap menjadikan keamanan sebagai bagian mulus dari operasional Anda? Lihat bagaimana Wowrack dapat membantu bisnis Anda mewujudkan Zero Trust dari sekadar kebijakan menjadi praktik harian yang nyata.
