Pertama kali diciptakan oleh Forrester pada tahun 2010, istilah 'zero trust' mengacu pada pendekatan baru terhadap keamanan yang bergantung pada verifikasi terus menerus atas kepercayaan setiap perangkat, pengguna, dan aplikasi dalam sebuah perusahaan.
Sebelum adanya gagasan zero trust ini, sebagian besar tim keamanan mengandalkan pendekatan "percaya tetapi verifikasi" yang menekankan perimeter pertahanan yang kuat. Model ini mengasumsikan apa pun di dalam perimeter jaringan (termasuk pengguna, sumber daya, dan aplikasi organisasi) dapat dipercaya, sehingga tim keamanan memberikan akses dan hak istimewa kepada pengguna dan sumber daya tersebut secara default. Sebaliknya, apa pun yang berada di luar perimeter harus dibersihkan sebelum mendapatkan akses.
Ketika keamanan tradisional mengatakan, "percaya tetapi verifikasi," zero trust mengatakan, "jangan pernah percaya, selalu verifikasi." Keamanan tanpa kepercayaan tidak pernah benar-benar 'membersihkan' apa pun. Sebaliknya, zero trust menganggap semua sumber daya berada di luar jaringan organisasi, terus menerus memverifikasi pengguna, sumber daya, perangkat, dan aplikasi sebelum hanya memberikan tingkat akses minimum yang diperlukan. Menetapkan program keamanan zero trust melibatkan koordinasi antara beberapa komponen TI dan membutuhkan pendekatan yang komprehensif.
Bagaimana konsep zero trust berubah dari waktu ke waktu?
Implementasi zero trust telah berubah seiring berjalannya waktu. Meskipun namanya menarik, organisasi tidak perlu absolutis nol kepercayaan - selalu memverifikasi segala sesuatu akan menjadi tidak praktis, bahkan tidak mungkin.
Sebaliknya, zero trust berevolusi dari konsep biner di mana tidak ada yang secara inheren aman dan semuanya perlu diverifikasi menjadi sesuatu yang jauh lebih bernuansa dan dinamis. Saat ini, zero trust menggabungkan kumpulan data yang lebih luas, prinsip-prinsip risiko, dan kebijakan berbasis risiko yang dinamis untuk memberikan dasar yang kuat dalam mengambil keputusan akses dan melakukan pemantauan berkelanjutan. Pertahanan zero trust diambil dari berbagai sumber termasuk intelijen ancaman, log jaringan, data titik akhir, dan informasi lain untuk menilai permintaan akses dan perilaku pengguna. NIST telah menerbitkan dokumen yang menganjurkan zero trust dan mengembangkan pendekatan yang lebih luas dan dinamis ini.
Baru-baru ini, minat terhadap zero trust telah melonjak, didorong oleh tren pasar yang meningkat sebagai akibat dari pandemi global, termasuk:
- Transformasi digital yang dipercepat (adopsi teknologi dan solusi baru dan yang sedang berkembang untuk memodernisasi dan mempercepat interaksi bisnis dengan pelanggan, karyawan, dan mitra)
- Migrasi ke cloud / SaaS
- Pekerjaan jarak jauh
- Penguapan zona kepercayaan yang dilindungi VPN (perimeter jaringan) dan kesadaran bahwa firewall kurang berguna untuk mendeteksi dan memblokir serangan dari dalam dan tidak dapat melindungi subjek di luar perimeter perusahaan
Sebelumnya, di sebagian besar lingkungan TI perusahaan, kepercayaan dibangun sebagian besar sebagai fungsi dari lokasi. Pengguna mengakses sumber daya perusahaan, dari komputer milik perusahaan, dari dalam kampus perusahaan. Hadir secara fisik di kampus perusahaan menyiratkan bahwa pengguna telah memenuhi persyaratan pemeriksaan dan kredensial untuk mendapatkan akses ke sumber daya TI perusahaan, yang biasanya berada di pusat data lokal. "Zona Tepercaya" dilindungi oleh teknologi yang diizinkan (protektif) seperti firewall, deteksi/perlindungan dari penyusupan, dan sumber daya lainnya.
Seiring berjalannya waktu, batas-batas TI kampus diperluas hingga mencakup kantor-kantor jarak jauh dan satelit, yang secara efektif memperluas gelembung Zona Tepercaya melalui koneksi privat yang aman di antara lokasi-lokasi tersebut. Di awal tahun 2000-an, ketika metode akses baru seperti VPN dan WiFi mulai bermunculan, teknologi baru ditambahkan otentikasi dan akses kredensial untuk menjaga integritas relatif perimeter. Di antaranya adalah otentikasi dua faktor (2FA) token dan standar IEEE 802.1x untuk Network Access Control (NAC) berbasis port.
Evolusi selanjutnya dari komputasi awan, perangkat yang bisa dibawa sendiri, dan hipermobilitas mengubah segalanya. Organisasi kini bergantung pada sumber daya TI yang melampaui batas-batas Zona Tepercaya. Selain itu, karyawan, mitra, dan pelanggan kini membutuhkan akses ke sistem dari lokasi, waktu, dan perangkat mana pun. Kerentanan dan celah keamanan yang dihasilkan mengantarkan era baru peretasan, ketika pelanggaran keamanan menjadi hal yang biasa. Perimeter lama sudah usang.
Erosi keamanan perimeter membuka jalan menuju nol kepercayaan. Namun, perlu dicatat bahwa konsep ini tidak sepenuhnya baru, bahkan di tahun 2010. Meskipun nama "zero trust" merupakan hal yang baru dan menarik perhatian, tugas untuk membangun kepercayaan di dunia internet yang pada dasarnya tidak dapat dipercaya telah menjadi topik penelitian akademis selama lebih dari empat dekade. Faktanya, pendirian RSA, hampir empat dekade yang lalu, berakar pada pekerjaan akademis yang dilakukan pada akhir tahun 1970-an yang membangun komunikasi dan transaksi yang aman di ruang yang tidak terpercaya.
Seiring berjalannya waktu, transformasi digital menguasai bisnis dan masyarakat, pendekatan terhadap kepercayaan pun terus berkembang.
Zero trust semakin populer dalam beberapa tahun terakhir. Namun, gangguan yang diakibatkan oleh pandemi COVID-19 telah mempercepat minat terhadap bagaimana organisasi dapat membangun ketahanan setelah terjadinya gangguan besar.
Seperti tahun-tahun sebelumnya, para pemimpin keamanan dan risiko memasuki dekade baru dengan rencana yang cukup canggih untuk mematangkan praktik manajemen risiko digital mereka. Namun, wabah awal COVID-19 menggeser fokus tim keamanan ke kebutuhan yang lebih taktis, seperti memungkinkan pekerja jarak jauh, mengamankan perubahan dalam operasi untuk mempertahankan fungsi bisnis atau untuk memanfaatkan peluang baru, menilai kembali risiko pihak ketiga dan rantai pasokan, mempercepat proses orientasi, dan banyak lagi. Anggaran dipangkas atau dibekukan, daftar panjang proyek yang tertunda pada awalnya dipangkas, tetapi kemudian dipercepat dengan cepat. Tim kini dihadapkan pada pengamanan inisiatif digital baru yang belum tentu sesuai dengan rezim keamanan dan risiko yang sudah ada.
Zero trust menawarkan dasar pendekatan yang bijaksana dan teruji bagi organisasi yang berjuang untuk mengikuti laju transformasi digital.
Pada bulan Agustus 2020, NIST menerbitkan Publikasi Khusus NIST 800-207: Arsitektur Nol Kepercayaan, yang mencakup komponen logis dari arsitektur zero trust, skenario desain yang memungkinkan, dan ancaman. Ini juga menyajikan peta jalan umum untuk organisasi yang ingin mengejar prinsip-prinsip zero trust.
Berikut ini menjelaskan elemen-elemen arsitektur dan menguraikan secara singkat produk dan fungsionalitas dalam portofolio RSA yang selaras dengan arsitektur zero trust.
Berikut ini adalah deskripsi dari setiap elemen (sebagaimana didefinisikan dalam NIST SP 800-207) dengan referensi tambahan untuk produk dan layanan RSA jika ada.
Mesin Kebijakan: Komponen ini bertanggung jawab atas keputusan akhir untuk memberikan akses ke sumber daya untuk subjek tertentu. Mesin kebijakan menggunakan kebijakan perusahaan serta masukan dari sumber eksternal (misalnya, sistem CDM, layanan intelijen ancaman yang dijelaskan di bawah ini) sebagai masukan ke algoritma kepercayaan untuk memberikan, menolak, atau mencabut akses ke sumber daya. Mesin kebijakan dipasangkan dengan komponen administrator kebijakan. Mesin kebijakan membuat dan mencatat keputusan, dan administrator kebijakan mengeksekusi keputusan tersebut.
RSA Akses berbasis peran dan atribut, akses bersyarat, dan analitik berbasis risiko merupakan komponen mendasar untuk menetapkan titik keputusan kebijakan dan mesin kebijakan.
Administrator Kebijakan: Komponen ini bertanggung jawab untuk membuat dan/atau mematikan jalur komunikasi antara subjek dan sumber daya. Komponen ini akan menghasilkan otentikasi dan token otentikasi atau kredensial yang digunakan oleh klien untuk mengakses sumber daya perusahaan. Ini terkait erat dengan mesin kebijakan dan bergantung pada keputusannya untuk mengizinkan atau menolak sesi. Beberapa implementasi mungkin memperlakukan mesin kebijakan dan administrator kebijakan sebagai satu layanan. Administrator kebijakan berkomunikasi dengan titik penegakan kebijakan saat membuat jalur komunikasi. Komunikasi ini dilakukan melalui bidang kontrol.
RSA menawarkan berbagai metode autentikasi dan pengalaman pengguna (misalnya pilihan autentikasi, BYOA) untuk mengelola autentikasi dan menentukan akses ketika diminta oleh titik penegakan kebijakan.
Titik Penegakan Kebijakan:
Sistem ini bertanggung jawab untuk mengaktifkan, memantau, dan pada akhirnya memutuskan hubungan antara subjek dan sumber daya perusahaan.
Ini adalah komponen logis tunggal dalam arsitektur zero trust tetapi dapat dipecah menjadi dua komponen yang berbeda: klien (misalnya, agen pada laptop pengguna) dan sisi sumber daya (misalnya, komponen gateway di depan sumber daya yang mengontrol akses) atau komponen portal tunggal yang bertindak sebagai penjaga gerbang untuk jalur komunikasi. Di luar titik penegakan kebijakan adalah zona kepercayaan implisit yang menampung sumber daya perusahaan.
Produk RSA dapat menentukan keputusan kebijakan yang diberlakukan oleh titik-titik penegakan kebijakan mitra (VPN, situs web, aplikasi, dll.) dan secara langsung menegakkan kebijakan di perangkat titik akhir.
Otentikasi multi-faktor SecurID®, yang bertindak dalam kapasitas keputusan kebijakan, bekerja dengan banyak sekali perangkat mitra (desktop, server, mesin virtual, server web, portal, perangkat jaringan, aplikasi, dll.) untuk mengautentikasi pengguna dan menentukan hak akses.
Kebijakan Akses Data:
Ini adalah atribut, aturan, dan kebijakan tentang akses ke sumber daya perusahaan. Rangkaian aturan ini dapat dikodekan atau dibuat secara dinamis oleh mesin kebijakan. Kebijakan-kebijakan ini merupakan titik awal untuk mengotorisasi akses ke sumber daya karena memberikan hak akses dasar untuk akun dan aplikasi di perusahaan. Kebijakan-kebijakan ini harus didasarkan pada peran misi dan kebutuhan organisasi yang telah ditetapkan.
Tata Kelola dan Siklus Hidup SecurID® adalah titik awal yang ideal untuk mengotorisasi akses ke sumber daya dengan fokus yang jelas pada tata kelola, visibilitas di seluruh data terstruktur dan tidak terstruktur, serta analitik dan intelijen untuk memastikan prinsip-prinsip hak istimewa yang paling sedikit dapat diterapkan.
Sistem ini bertanggung jawab untuk membuat, menyimpan, dan mengelola akun pengguna perusahaan dan catatan identitas (misalnya, server protokol akses direktori ringan (LDAP)). Sistem ini berisi informasi pengguna yang diperlukan (misalnya, nama, alamat email, sertifikat) dan karakteristik perusahaan lainnya seperti peran, atribut akses, dan aset yang ditetapkan. Sistem ini sering kali menggunakan sistem lain (seperti PKI) untuk artefak yang terkait dengan akun pengguna. Sistem ini dapat menjadi bagian dari komunitas federasi yang lebih besar dan dapat mencakup karyawan non-perusahaan atau tautan ke aset non-perusahaan untuk kolaborasi.
RSA Solusi identitas terintegrasi dengan semua sistem manajemen identitas terkemuka (yaitu Microsoft AD / Azure AD / AWS AD) untuk mengintegrasikan identitas dengan kebijakan, administrasi, dan metode yang diperlukan agar arsitektur zero trust dapat berfungsi.
Intelijen Ancaman:
Ini memberikan informasi dari sumber internal atau eksternal yang membantu mesin kebijakan membuat keputusan akses. Ini bisa berupa beberapa layanan yang mengambil data dari sumber internal dan/atau beberapa sumber eksternal dan memberikan informasi tentang serangan atau kerentanan yang baru ditemukan. Ini juga termasuk daftar hitam, malware yang baru diidentifikasi, dan serangan yang dilaporkan ke aset lain yang ingin ditolak aksesnya oleh mesin kebijakan dari aset perusahaan.
RSA IAM memanfaatkan sinyal - internal dan eksternal - untuk meningkatkan jaminan (sinyal positif) dan mengidentifikasi ancaman (sinyal negatif). Sebagai contoh, sinyal internal seperti riwayat pengguna, analisis perilaku, alamat IP, jaringan, dan lokasi dapat menjadi faktor untuk menentukan autentikasi berbasis risiko dan keputusan akses.
###
Cobalah Demo!
Cobalah solusi otentikasi multi-faktor (MFA) cloud ID Plus - salah satu produk paling aman di pasar, dan MFA yang paling banyak digunakan di dunia. Cari tahu alasannya: daftar untuk uji coba gratis selama 45 hari.
