Anda mungkin pernah mendengar bahwa zero trust bukanlah sebuah produk atau solusi; faktanya, para ahli mulai dari tim analis di Forrester, dari mana istilah ini berasal, hingga para ahli strategi RSA kami sendiri telah menjelaskan hal tersebut. Sebaliknya, ini adalah strategi keamanan. Dan meskipun konsepnya cukup sederhana-jangan percaya pada siapa pun sampai Anda memastikan bahwa Anda benar-benar percaya-pelaksanaannya sering kali luar biasa. Setelah Anda berkomitmen pada pendekatan tanpa kepercayaan, pekerjaan yang sebenarnya dimulai. Tetapi dari mana Anda memulainya?
Jawabannya: identitas.
Sebagai garis pertahanan pertama terhadap ancaman keamanan siber, identitas adalah kunci untuk menjadikan zero trust sebagai alat yang nyata dan praktis yang dapat digunakan organisasi untuk meningkatkan postur keamanan mereka. Pemikiran di balik zero trust adalah bahwa kepercayaan tidak dapat diasumsikan, melainkan harus dibangun kembali dengan setiap interaksi-itulah yang dilakukan oleh identitas.
Setiap kali pengguna mengautentikasi, kepercayaan diverifikasi sebelum akses diberikan. Hal ini merupakan dasar untuk mengambil konsep zero trust dan menjadikannya kenyataan sehari-hari.
Mari kita telusuri apa artinya, dimulai dengan apa sebenarnya zero trust itu.
Zero trust adalah cara berpikir tentang keamanan di dunia yang semakin digital, di mana perimeter jaringan tradisional yang kita andalkan selama bertahun-tahun telah terhapus. Saat ini, orang bisa (dan memang) bekerja dari mana saja. Sumber daya yang mereka akses bisa jadi ada di cloud, di lokasi, atau kombinasi keduanya, dan mereka mengaksesnya dari lokasi yang jauh di luar batas perlindungan apa pun. Masalahnya kemudian adalah bagaimana mengamankan sumber daya tersebut.
Mengadopsi zero trust adalah salah satu cara untuk menyelesaikan masalah. Prinsip panduan untuk zero trust adalah bahwa kepercayaan tidak dapat diasumsikan. Setiap interaksi yang berhubungan dengan mengakses sumber daya harus dianggap berpotensi berisiko. Seperti yang dikatakan oleh Jim Taylor, Chief Product Officer RSA, "Nol kepercayaan adalah sebuah cara untuk mendekati sebuah situasi ketika Anda tidak lagi memiliki mekanisme yang biasanya membuat Anda merasa aman." Daripada mengasumsikan seseorang atau perangkat dapat dipercaya, kepercayaan harus diverifikasi dengan setiap interaksi.
Dengan terkikisnya batas tradisional, identitas menjadi sarana utama untuk membangun kepercayaan. "Identitas adalah perimeter baru-ini adalah satu hal yang dapat Anda kendalikan dan amankan," kata Taylor. "Jika saya dapat menentukan dengan tingkat kepercayaan yang tinggi bahwa Anda adalah orang yang Anda katakan, saya dapat mengautentikasi Anda dan mengotorisasi Anda. Kemampuan untuk mempercayai identitas seseorang atau sesuatu memungkinkan untuk mendasarkan kebijakan keamanan pada identitas."
Tentu saja, ide menggunakan identitas untuk membangun kepercayaan bukanlah hal yang baru. Namun konteks untuk membangun kepercayaan telah berubah sehingga identitas menjadi lebih penting dari sebelumnya. Semakin banyak tenaga kerja yang tidak hanya terdiri dari karyawan tetap, tetapi juga kontraktor, pekerja lepas, dan banyak lagi yang membutuhkan akses ke sumber daya-dan tidak hanya di tempat kerja. Interaksi saat ini terjadi secara digital dan online sedemikian rupa sehingga lokasi fisik seseorang tidak lagi menjadi dasar untuk membangun kepercayaan. Perubahan ini menjadi alasan mengapa zero trust menjadi sangat relevan saat ini dan mengapa identitas menjadi sangat penting.
Identitas membuka jalan menuju nol kepercayaan dalam tiga cara khusus.
- Memberikan akses ke orang yang tepat. Kemampuan untuk membangun tingkat kepercayaan yang tepat sebelum memberikan akses sangat penting untuk beroperasi dengan pola pikir tanpa kepercayaan. Untuk mendukung zero trust, Anda memerlukan kemampuan identitas dan akses yang mencakup berbagai metode otentikasi multi-faktor (MFA), serta tata kelola dan administrasi identitas yang kuat (IGA) untuk memungkinkan otorisasi akses berbasis tata kelola dan berbasis visibilitas.
- Mendukung pengambilan keputusan yang dinamis. Agar berhasil menerapkan pendekatan tanpa kepercayaan terhadap akses, Anda harus mampu menggunakan konteks untuk menilai risiko yang terkait dengan interaksi tertentu dan kemudian membuat keputusan akses berdasarkan tingkat risiko. Pendekatan tanpa kepercayaan membutuhkan pengambilan keputusan dinamis berbasis konteks, jadi penting untuk memiliki kemampuan menerapkan autentikasi berbasis risiko.
- Selaras dengan kerangka kerja arsitektur zero trust NIST. National Institute of Standards and Technology (NIST) telah mengembangkan kerangka kerja untuk arsitektur tanpa kepercayaan. Komponen identitas dan akses yang mencakup analisis berbasis risiko yang diwajibkan oleh NIST serta akses berbasis peran dan atribut sangat penting untuk bekerja dalam kerangka kerja NIST.
Pendekatan apa pun untuk mengamankan akses, termasuk zero trust, memiliki dua tujuan: menjauhkan orang jahat dan membiarkan orang baik masuk. Jika Anda hanya berfokus pada pertahanan dan tidak membiarkan siapa pun masuk, risiko Anda akan kecil tetapi bisnis Anda juga kecil. Istilah zero trust bukan berarti tidak pernah mempercayai siapa pun. Ini berarti tidak mempercayai siapa pun tanpa terlebih dahulu memeriksa untuk memastikan bahwa mereka dapat dipercaya. Dan identitas adalah hal yang penting untuk memastikan seseorang atau sesuatu dapat dipercaya. Dengan alat identitas yang tepat, Anda bisa berhasil membawa pola pikir tanpa kepercayaan untuk mengelola akses dan berkembang di dunia digital.
Pelajari lebih lanjut tentang RSA yang eksklusif fokus pada identitas hari ini, dan cari tahu lebih lanjut tentang zero trust dari RSA:
- Unduh Panduan Implementasi Forrester Zero Trust
- Lihat bagaimana RSA menangani nol kepercayaan tantangan
- Pelajari tentang RSA produk yang mendukung zero trust
