Apa yang dimaksud dengan zero trust, dan kerangka kerja serta standar apa saja yang bisa membantu menerapkan prinsip keamanan zero trust ke dalam strategi keamanan siber Anda?
Banyak klien IBM ingin tahu apa sebenarnya keamanan zero trust itu dan apakah itu berlaku untuk mereka. Memahami konsep zero trust dan bagaimana perkembangannya akan membantu Anda dan banyak klien kami memahami cara terbaik menerapkannya untuk melindungi aset perusahaan Anda yang paling berharga.
Zero trust adalah kerangka kerja yang mengasumsikan setiap koneksi dan titik akhir merupakan ancaman, baik secara eksternal maupun internal dalam keamanan jaringan perusahaan. Hal ini memungkinkan perusahaan membangun strategi TI menyeluruh untuk memenuhi kebutuhan keamanan lingkungan hybrid cloud. Zero trust menerapkan perlindungan adaptif dan berkelanjutan, dan menyediakan kemampuan untuk mengelola ancaman secara proaktif.
Dengan kata lain, pendekatan ini tidak pernah mempercayai pengguna, perangkat, atau koneksi untuk transaksi apa pun dan akan memverifikasi semua hal tersebut untuk setiap transaksi. Hal ini memungkinkan perusahaan untuk mendapatkan keamanan dan visibilitas di seluruh bisnis mereka dan menerapkan kebijakan keamanan yang konsisten, sehingga dapat mendeteksi dan merespons ancaman dengan lebih cepat.
Zero trust dimulai dalam inisiatif “BeyondCorp” yang dikembangkan oleh Google pada tahun 2010. Tujuan inisiatif ini adalah untuk mengamankan akses ke sumber daya berdasarkan identitas dan konteks, menjauh dari model keamanan berbasis perimeter tradisional. Strategi ini memungkinkan Google untuk menyediakan akses yang aman bagi karyawan ke aplikasi dan data perusahaan dari mana saja, menggunakan perangkat apa saja, tanpa memerlukan VPN.
Pada tahun 2014, analis Forrester Research, John Kindervag, menciptakan konsep zero trust untuk menggambarkan paradigma keamanan baru ini dalam sebuah laporan berjudul "The Zero Trust Model of Information Security." Dia mengusulkan model keamanan baru yang mengasumsikan bahwa tidak ada seorang pun—baik di dalam maupun di luar jaringan organisasi—yang dapat dipercaya tanpa verifikasi. Laporan tersebut menguraikan model zero trust berdasarkan dua prinsip utama: "Jangan pernah percaya, selalu verifikasi."
Semua pengguna, perangkat, dan aplikasi diasumsikan tidak terpercaya dan harus diverifikasi sebelum diberikan akses ke sumber daya. Prinsip hak istimewa yang paling sedikit berarti bahwa setiap pengguna atau perangkat diberikan tingkat akses minimum yang diperlukan untuk melakukan pekerjaan mereka, dan akses hanya diberikan atas dasar kebutuhan untuk mengetahui.
Sejak saat itu, konsep zero trust terus mendapatkan momentum, dengan banyak organisasi yang mengadopsi arsitekturnya untuk melindungi aset digital mereka dengan lebih baik dari ancaman siber. Ini mencakup berbagai prinsip dan teknologi keamanan yang digunakan untuk memperkuat keamanan dan mengurangi risiko pelanggaran keamanan.
Model-model ini dirancang untuk bekerja sama guna menciptakan arsitektur zero trust komprehensif yang dapat membantu organisasi mengurangi permukaan serangan, meningkatkan postur keamanan, dan meminimalkan risiko pelanggaran keamanan. Namun, penting untuk dicatat bahwa jenis spesifik model keamanan zero trust dan implementasinya dapat bervariasi tergantung pada ukuran organisasi, industri, dan kebutuhan keamanan spesifiknya.
Zero trust telah menjadi pendekatan populer untuk keamanan siber modern. Pendekatan ini telah digunakan oleh banyak organisasi untuk mengatasi ancaman serangan siber dan pelanggaran data yang terus meningkat di dunia yang kompleks dan saling terhubung saat ini. Sebagai hasilnya, banyak vendor teknologi telah mengembangkan produk dan layanan yang secara khusus dirancang untuk mendukung arsitektur zero trust.
Ada juga banyak kerangka kerja dan standar yang dapat digunakan organisasi untuk menerapkan prinsip-prinsip zero trust dalam strategi keamanan siber mereka dengan panduan dari Institut Standar dan Teknologi Nasional (NIST).
NIST adalah lembaga pemerintah non-regulator di Departemen Perdagangan AS, yang bertujuan membantu perusahaan untuk lebih memahami, mengelola, dan mengurangi risiko keamanan siber untuk melindungi jaringan dan data. Mereka telah menerbitkan beberapa panduan komprehensif yang sangat direkomendasikan tentang zero trust:
NIST SP 800-207, Zero Trust Architecture (tautan berada di luar ibm.com) adalah publikasi pertama yang menetapkan dasar untuk arsitektur zero trust. Publikasi ini memberikan definisi zero trust sebagai seperangkat prinsip-prinsip panduan (bukan teknologi dan implementasi spesifik) dan termasuk contoh arsitektur zero trust.
NIST SP 800-207 menekankan pentingnya pemantauan berkelanjutan dan pengambilan keputusan berbasis risiko yang adaptif. Mereka merekomendasikan untuk menerapkan arsitektur zero trust dengan Tujuh Pilar Zero Trust (secara tradisional dikenal sebagai Tujuh Prinsip Zero Trust)
Secara keseluruhan, NIST SP 800-207 mempromosikan pendekatan menyeluruh terhadap zero trust yang didasarkan pada prinsip-prinsip hak istimewa yang paling sedikit, segmentasi mikro, dan pemantauan berkelanjutan, yang mendorong organisasi untuk menerapkan pendekatan keamanan berlapis yang menggabungkan berbagai teknologi dan kontrol untuk melindungi dari ancaman.
NIST SP 1800-35B, Implementing a Zero Trust Architecture (tautan berada di luar ibm.com) adalah publikasi lain yang sangat direkomendasikan dari NIST dan terdiri dari dua topik utama:
Publikasi ini menghubungkan tantangan keamanan TI (berlaku untuk sektor swasta dan publik) dengan prinsip-prinsip dan komponen arsitektur zero trust sehingga organisasi dapat mendiagnosis sendiri kebutuhan mereka dengan benar. Mereka kemudian dapat mengadopsi prinsip dan komponen arsitektur zero trust untuk memenuhi kebutuhan organisasi mereka. Oleh karena itu, NIST SP 1800-35B tidak mengidentifikasi tipe spesifik dari model zero trust.
NIST memanfaatkan pengembangan iteratif untuk empat arsitektur zero trust yang telah mereka terapkan, sehingga memudahkan dan memberikan fleksibilitas untuk melakukan peningkatan bertahap dan memiliki kesinambungan dengan kerangka kerja zero trust yang terus berkembang dari waktu ke waktu.
NIST memiliki kemitraan strategis dengan banyak organisasi teknologi (seperti IBM) yang berkolaborasi untuk tetap menjadi yang terdepan dalam perubahan dan ancaman yang muncul.
Kolaborasi ini memungkinkan IBM memprioritaskan pengembangan untuk memastikan solusi teknologi yang selaras dengan tujuh prinsip dan prinsip-prinsip zero trust, mengamankan dan melindungi sistem dan data klien IBM.
Pelajari lebih lanjut tentang pentingnya zero trust dalam Laporan Biaya Pelanggaran Data 2022 dari IBM atau berkomunikasilah langsung dengan salah satu pakar zero trust IBM.