Anda mungkin pernah mendengar bahwa Zero Trust bukanlah sebuah produk atau solusi; pada kenyataannya, para ahli—mulai dari tim analis di Forrester, mulai dari tempat asal istilah tersebut hingga para pakar strategi RSA kami sendiri, semua telah menekankan hal tersebut. Sebenarnya, ini adalah strategi keamanan. Meskipun konsepnya cukup sederhana—jangan percaya siapa pun sebelum Anda memastikan bahwa Anda memang bisa mempercayainya—penerapannya seringkali terasa sangat menantang. Begitu Anda memutuskan untuk menerapkan pendekatan Zero Trust, pekerjaan sesungguhnya pun dimulai. Namun, dari mana Anda harus memulainya?
Jawabannya: identitas.
Sebagai garis pertahanan pertama terhadap ancaman keamanan siber, identitas memegang peranan kunci dalam menjadikan Zero Trust sebagai alat yang nyata dan praktis yang dapat digunakan organisasi untuk meningkatkan postur keamanannya. Prinsip di balik Zero Trust adalah bahwa kepercayaan tidak boleh dianggap sebagai hal yang pasti, melainkan harus dibangun kembali pada setiap interaksi—itulah yang dilakukan oleh identitas.
Setiap kali seorang pengguna melakukan otentikasi, keandalan pengguna tersebut diverifikasi sebelum akses diberikan. Hal itu merupakan landasan untuk menerapkan konsep Zero Trust dan menjadikannya bagian dari kehidupan sehari-hari.
Mari kita bahas apa artinya hal tersebut, dimulai dengan penjelasan tentang apa sebenarnya Zero Trust itu.
Zero Trust adalah paradigma baru dalam memandang keamanan di dunia yang semakin digital, di mana batas jaringan tradisional yang selama bertahun-tahun menjadi andalan kita kini nyaris lenyap. Saat ini, orang dapat (dan memang) bekerja dari mana saja. Sumber daya yang mereka akses mungkin berada di cloud, di lokasi fisik, atau kombinasi keduanya, dan mereka mengaksesnya dari lokasi yang jauh melampaui batas perlindungan apa pun. Masalahnya kemudian adalah bagaimana mengamankan sumber daya tersebut.
Menerapkan Zero Trust adalah salah satu cara untuk mengatasi masalah ini. Prinsip dasar Zero Trust adalah bahwa kepercayaan tidak boleh dianggap sebagai hal yang pasti. Setiap interaksi yang berkaitan dengan akses ke sumber daya harus dianggap berpotensi berisiko. Seperti yang diungkapkan oleh Jim Taylor, Chief Product Officer RSA, “Zero Trust adalah cara menghadapi situasi ketika Anda tidak lagi memiliki mekanisme yang dulu Anda andalkan untuk merasa aman.” Alih-alih menganggap seseorang atau perangkat dapat dipercaya, kepercayaan harus diverifikasi pada setiap interaksi.
Dengan terkikisnya batas tradisional, identitas menjadi sarana utama untuk membangun kepercayaan. "Identitas adalah perimeter baru-ini adalah satu hal yang dapat Anda kendalikan dan amankan," kata Taylor. "Jika saya dapat menentukan dengan tingkat kepercayaan yang tinggi bahwa Anda adalah orang yang Anda katakan, saya dapat mengautentikasi Anda dan mengotorisasi Anda. Kemampuan untuk mempercayai identitas seseorang atau sesuatu memungkinkan untuk mendasarkan kebijakan keamanan pada identitas."
Tentu saja, gagasan menggunakan identitas untuk membangun kepercayaan bukanlah hal baru. Namun, konteks dalam membangun kepercayaan telah berubah sedemikian rupa sehingga identitas menjadi lebih krusial daripada sebelumnya. Kini, tenaga kerja tidak hanya terdiri dari karyawan tetap yang bekerja di kantor, tetapi juga kontraktor, pekerja lepas, dan banyak pihak lain yang membutuhkan akses ke sumber daya—dan tidak hanya di lokasi kantor. Interaksi saat ini terjadi secara digital dan daring dalam skala yang begitu luas sehingga lokasi fisik seseorang tidak lagi menjadi dasar utama dalam membangun kepercayaan. Perubahan-perubahan inilah yang menjadikan Zero Trust sangat relevan saat ini dan mengapa identitas menjadi sangat penting.
Identitas membuka jalan menuju Zero Trust melalui tiga cara khusus.
- Memberikan akses ke orang yang tepat. Kemampuan untuk membangun tingkat kepercayaan yang tepat sebelum memberikan akses sangat penting dalam menerapkan pendekatan Zero Trust. Untuk mendukung Zero Trust, Anda memerlukan kemampuan manajemen identitas dan akses yang mencakup berbagai metode otentikasi multi-faktor (MFA), serta tata kelola dan administrasi identitas (IGA) yang kuat guna memungkinkan otorisasi akses yang didasarkan pada tata kelola dan didorong oleh visibilitas.
- Mendukung pengambilan keputusan yang dinamis. Untuk berhasil menerapkan pendekatan Zero Trust dalam hal akses, Anda harus mampu memanfaatkan konteks untuk menilai risiko yang terkait dengan interaksi tertentu, lalu mengambil keputusan akses berdasarkan tingkat risiko tersebut. Pendekatan Zero Trust menuntut pengambilan keputusan dinamis yang didasarkan pada konteks, sehingga penting untuk memiliki kemampuan menerapkan otentikasi berbasis risiko.
- Selaras dengan kerangka kerja arsitektur Zero Trust dari NIST. Institut Nasional Standar dan Teknologi (NIST) telah mengembangkan kerangka kerja untuk arsitektur Zero Trust. Komponen identitas dan akses yang mencakup analisis berbasis risiko serta akses berbasis peran dan atribut—sesuai persyaratan NIST—merupakan hal yang sangat penting untuk menerapkan kerangka kerja NIST.
Setiap pendekatan untuk mengamankan akses, termasuk Zero Trust, memiliki dua tujuan: mencegah pihak yang tidak berwenang masuk dan mengizinkan pihak yang berwenang masuk. Jika Anda hanya berfokus pada pertahanan dan tidak mengizinkan siapa pun masuk, risiko yang dihadapi memang kecil, tetapi bisnis Anda pun akan terhambat. Istilah Zero Trust tidak berarti tidak pernah mempercayai siapa pun sama sekali. Artinya, jangan mempercayai siapa pun tanpa terlebih dahulu memeriksa untuk memastikan bahwa mereka dapat dipercaya. Dan identitas memegang peranan sentral dalam memastikan bahwa seseorang atau sesuatu dapat dipercaya. Dengan alat identitas yang tepat, Anda dapat berhasil menerapkan pola pikir Zero Trust dalam mengelola akses dan berkembang di dunia digital.
Pelajari lebih lanjut tentang RSA yang eksklusif fokus pada identitas Hari ini, dan pelajari lebih lanjut tentang Zero Trust dari RSA:
- Unduh Panduan Implementasi Forrester Zero Trust
- Lihat bagaimana RSA menangani Nol Kepercayaan tantangan
- Pelajari tentang RSA produk yang mendukung Zero Trust