Apa itu manajemen identitas dan akses (IAM)?

Dengan munculnya komputasi awan, pekerjaan jarak jauh, dan AI generatif, IAM telah menjadi komponen inti dari keamanan jaringan.

Jaringan korporat rata-rata saat ini menampung jumlah pengguna manusia (karyawan, pelanggan, kontraktor) dan pengguna non-manusia (agen AI, perangkat IoT dan titik akhir, beban kerja otomatis) yang terus bertambah. Pengguna ini tersebar di berbagai lokasi dan memerlukan akses aman ke aplikasi dan sumber daya baik yang berada di lokasi fisik (on-premises) maupun yang berbasis cloud.

Peretas telah memperhatikan permukaan serangan identitas yang berkembang ini. Menurut IBM® X-Force® Threat Intelligence Index, 30% serangan siber melibatkan pencurian dan penyalahgunaan akun yang valid.

Manajemen identitas dan akses dapat membantu memfasilitasi akses aman bagi pengguna yang berwenang sekaligus memblokir akses tidak sah untuk penyerang luar, orang dalam yang jahat, dan bahkan pengguna yang bermaksud baik yang menyalahgunakan hak akses mereka. Alat IAM memungkinkan organisasi untuk membuat dan membuang identitas digital dengan aman, menetapkan dan menegakkan kebijakan kontrol akses, memverifikasi pengguna, dan memantau aktivitas pengguna. 

Tujuan IAM adalah untuk menghentikan peretas sambil memudahkan pengguna yang diizinkan untuk dengan mudah melakukan semua hal yang diperlukan, tetapi tidak lebih dari itu.

Untuk tujuan itu, implementasi IAM memiliki empat pilar:

• Administrasi
• Autentikasi
• Otorisasi
• Audit

Administrasi identitas—juga disebut sebagai "manajemen identitas" atau "manajemen siklus hidup identitas"—adalah proses menciptakan, memelihara, dan membuang identitas pengguna dengan aman dalam suatu sistem.

Untuk memfasilitasi akses pengguna yang aman, organisasi pertama-tama perlu mengetahui siapa dan apa yang ada di sistem mereka. Ini biasanya melibatkan pemberian identitas digital yang berbeda kepada setiap pengguna manusia dan bukan manusia.

Identitas digital adalah kumpulan atribut pembeda yang terkait dengan entitas tertentu. Identitas digital menangkap ciri-ciri seperti nama pengguna, kredensial masuk, jabatan, dan hak akses.

Identitas digital biasanya disimpan dalam basis data atau direktori pusat, yang bertindak sebagai sumber kebenaran tunggal. Sistem IAM menggunakan informasi dalam basis data ini untuk memvalidasi pengguna dan menentukan apa yang boleh mereka lakukan.

Selain melakukan onboarding pengguna baru, alat IAM dapat memperbarui identitas dan izin pengguna seiring dengan perubahan peran mereka, serta menghapus akses pengguna yang meninggalkan sistem.

Tim TI dan keamanan siber dapat menangani penyediaan dan deprovisioning pengguna secara manual, tetapi banyak sistem IAM juga mendukung pendekatan layanan mandiri. Pengguna menyediakan informasi mereka, dan sistem secara otomatis membuat identitas mereka dan menetapkan tingkat akses yang sesuai berdasarkan aturan yang ditetapkan oleh organisasi. 

Autentikasi adalah proses yang memverifikasi bahwa seorang pengguna adalah benar orang yang mereka klaim.

Ketika pengguna masuk ke sistem atau meminta akses ke sumber daya, mereka mengirimkan kredensial—disebut “faktor autentikasi” —untuk menjamin identitas mereka. Misalnya, pengguna manusia mungkin memasukkan kata sandi atau pemindaian sidik jari biometrik, sementara pengguna bukan manusia mungkin berbagi sertifikat digital. Sistem IAM memeriksa kredensial ini dan mencocokkannya dengan database pusat. Jika cocok, akses akan diberikan.

Kata sandi adalah bentuk autentikasi paling dasar, tetapi juga salah satu yang paling lemah. Sebagian besar implementasi IAM saat ini menggunakan metode autentikasi yang lebih canggih, seperti autentikasi dua faktor (2FA) atau autentikasi multifaktor (MFA), yang mengharuskan pengguna untuk menyediakan beberapa faktor autentikasi untuk membuktikan identitas mereka.

Contohnya, sebuah situs web memerlukan pengguna untuk memasukkan kata sandi dan kode yang dikirim ke nomor telepon mereka, itu adalah skema 2FA dalam aksi.

Otorisasi adalah proses pemberian pengguna yang diverifikasi tingkat akses yang sesuai ke sumber daya.

Autentikasi dan otorisasi sangat terkait, dan autentikasi biasanya merupakan prasyarat untuk otorisasi. Setelah pengguna membuktikan identitasnya, sistem IAM memeriksa izin yang terkait dengan identitas tersebut di basis data pusat dan memberikan izin kepada pengguna sesuai dengan izin yang dimiliki.

Secara keseluruhan, autentikasi dan otorisasi membentuk komponen manajemen akses dalam manajemen identitas dan akses.

Untuk mengatur izin akses pengguna, organisasi yang berbeda mengambil pendekatan yang berbeda. Salah satu kerangka kerja kontrol akses yang umum adalah kontrol akses berbasis peran (RBAC), di mana hak istimewa pengguna didasarkan pada fungsi pekerjaan mereka. RBAC membantu mempermudah proses penetapan izin pengguna dan mengurangi risiko pemberian hak akses yang lebih tinggi daripada yang diperlukan.

Misalnya, katakanlah administrator sistem mengatur izin untuk firewall jaringan. Seorang perwakilan penjualan kemungkinan tidak akan memiliki akses sama sekali, karena peranannya tidak memerlukannya. Analis keamanan tingkat junior mungkin dapat melihat konfigurasi firewall, tetapi tidak dapat mengubahnya. Sementara itu, Chief Information Security Officer (CISO) memegang akses administratif penuh. Antarmuka pemrograman aplikasi (API) untuk sistem manajemen informasi dan peristiwa keamanan terintegrasi (SIEM) mungkin dapat membaca log aktivitas firewall.

Sebagian besar kerangka kerja kontrol akses dirancang sesuai dengan prinsip hak istimewa paling rendah. Sering dikaitkan dengan strategi keamanan siber zero-trust, prinsip hak istimewa paling sedikit menyatakan bahwa pengguna seharusnya hanya memiliki izin terendah yang diperlukan untuk menyelesaikan tugas. Hak istimewa mereka harus dicabut segera setelah tugas selesai.

Audit berarti memastikan bahwa sistem IAM dan komponennya—administrasi, autentikasi, dan otorisasi—berfungsi dengan baik.

Audit melibatkan pemantauan dan pencatatan aktivitas pengguna saat menggunakan hak akses mereka untuk memastikan bahwa tidak ada pihak, termasuk peretas, yang memiliki akses ke informasi yang tidak seharusnya, serta memastikan bahwa pengguna yang berwenang tidak menyalahgunakan hak istimewa mereka.

Audit adalah fungsi tata kelola identitas inti, dan penting untuk kepatuhan terhadap peraturan. Persyaratan keamanan seperti Peraturan Perlindungan Data Umum (GDPR), Undang-Undang Sarbanes-Oxley (SOX), dan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) mewajibkan organisasi untuk membatasi hak akses pengguna dengan cara tertentu. Alat dan proses audit membantu organisasi memastikan bahwa sistem IAM mereka memenuhi persyaratan, dan jejak audit dapat membantu membuktikan kepatuhan atau mengidentifikasi pelanggaran sesuai kebutuhan.

Organisasi mengandalkan alat teknologi untuk mengotomatisasi dan mempermudah alur kerja IAM yang penting, seperti autentikasi pengguna dan pemantauan aktivitas mereka. Beberapa organisasi menggunakan solusi terpisah untuk menangani aspek-aspek berbeda dari IAM, sementara yang lain menggunakan platform IAM yang komprehensif yang dapat menangani semua aspek atau mengintegrasikan berbagai alat dalam satu sistem terpadu.

Komponen inti dan fungsi solusi manajemen identitas dan akses meliputi:

Layanan direktori adalah tempat sistem IAM menyimpan dan mengelola data tentang identitas, kredensial, dan izin akses pengguna. Solusi IAM dapat memiliki direktori terpusat sendiri atau terintegrasi dengan layanan direktori eksternal seperti Microsoft Active Directory dan Google Workspace.

Beberapa implementasi IAM menggunakan pendekatan yang disebut “federasi identitas,” di mana sistem berbeda berbagi informasi identitas satu sama lain. Satu sistem bertindak sebagai penyedia identitas, menggunakan standar terbuka seperti Security Assertion Markup Language (SAML) dan OpenID Connect (OIDC) untuk mengautentikasi pengguna secara aman ke sistem lain.

Masuk via media sosial—ketika suatu aplikasi mengizinkan seseorang menggunakan akun Facebook, Google, atau akun lainnya untuk masuk—adalah contoh umum dari federasi identitas.

Selain MFA dan 2FA, banyak solusi IAM mendukung metode autentikasi lanjutan seperti masuk tunggal (SSO), autentikasi adaptif, dan autentikasi tanpa kata sandi.

Sistem masuk tunggal (SSO) memungkinkan pengguna mengakses beberapa aplikasi dan layanan dengan satu set kredensial masuk. Portal SSO mengautentikasi pengguna dan membuat sertifikat atau token yang bertindak sebagai kunci keamanan untuk sumber daya lainnya. Sistem SSO menggunakan protokol seperti SAML dan OIDC untuk berbagi kunci antara penyedia layanan.

Autentikasi adaptif, yang juga disebut autentikasi berbasis risiko, mengubah persyaratan autentikasi secara real-time sesuai dengan perubahan tingkat risiko. Skema autentikasi adaptif menggunakan kecerdasan buatan (AI) dan machine learning (ML) untuk menganalisis konteks proses masuk, termasuk faktor-faktor seperti perilaku pengguna, postur keamanan perangkat, dan waktu. Makin berisiko proses masuk, makin banyak autentikasi yang dibutuhkan sistem.

Misalnya, pengguna yang masuk dari perangkat dan lokasi mereka yang biasa mungkin hanya perlu memasukkan kata sandi mereka. Pengguna yang sama yang masuk dari perangkat yang tidak tepercaya atau mencoba melihat informasi yang sangat sensitif mungkin perlu menyediakan lebih banyak faktor, karena situasinya sekarang menghadirkan lebih banyak risiko bagi organisasi.

Skema autentikasi tanpa kata sandi menggantikan kata sandi—yang terkenal mudah dicuri—dengan kredensial yang lebih aman. Kunci sandi, seperti yang sesuai standar FIDO yang populer, adalah salah satu bentuk autentikasi tanpa kata sandi yang paling umum. Mereka menggunakan kriptografi kunci publik untuk memverifikasi identitas pengguna.

Alat kontrol akses memungkinkan organisasi untuk menentukan dan menegakkan kebijakan akses terperinci pada pengguna manusia dan bukan manusia. Selain RBAC, kerangka kerja kontrol akses umum meliputi:

• Kontrol akses wajib (MAC), yang menerapkan kebijakan yang ditetapkan secara terpusat pada semua pengguna berdasarkan tingkat izin atau skor kepercayaan.
  
  
• Kontrol akses diskresioner (DAC), yang memungkinkan pemilik sumber daya untuk menetapkan aturan kontrol akses mereka sendiri untuk sumber daya tersebut. 
  
  
• Kontrol akses berbasis atribut (ABAC), yang menganalisis atribut pengguna, objek, dan tindakan—seperti nama pengguna, jenis sumber daya, dan waktu—untuk menentukan apakah akses akan diberikan.

Alat manajemen akses istimewa (PAM) mengawasi keamanan akun dan kontrol akses untuk akun pengguna dengan hak akses tinggi, seperti administrator sistem. Akun berhak istimewa diberikan perlindungan khusus karena merupakan target bernilai tinggi yang dapat dimanfaatkan oleh pelaku jahat untuk menyebabkan kerusakan serius. Alat PAM mengisolasi identitas istimewa dari yang lain dengan menggunakan brankas kredensial dan protokol akses tepat waktu untuk keamanan ekstra.

Alat manajemen kredensial memungkinkan pengguna untuk menyimpan kata sandi, kunci akses, dan kredensial lainnya secara aman di lokasi terpusat. Alat manajemen kredensial dapat mengurangi risiko karyawan lupa kredensial mereka. Mereka juga dapat mendorong praktik keamanan yang lebih baik dengan memudahkan pengguna untuk menetapkan kata sandi yang berbeda untuk setiap layanan yang mereka gunakan.

Alat manajemen rahasia melindungi kredensial—termasuk sertifikat, kunci, kata sandi, dan token—untuk pengguna bukan manusia, seperti aplikasi, server, dan beban kerja. Solusi manajemen rahasia sering menyimpan rahasia di brankas pusat yang aman. Ketika pengguna yang berwenang memerlukan akses ke sistem sensitif, mereka dapat memperoleh rahasia yang sesuai dari brankas. 

Alat tata kelola identitas membantu organisasi mengaudit aktivitas pengguna dan memastikan kepatuhan terhadap peraturan.

Fungsi inti dari alat pengelolaan identitas meliputi audit izin pengguna untuk mengatasi tingkat akses yang tidak sesuai, pencatatan aktivitas pengguna, penerapan kebijakan keamanan, dan penandaan pelanggaran.

Alat deteksi dan respons ancaman identitas (ITDR) secara otomatis mendeteksi dan mengatasi ancaman berbasis identitas serta risiko keamanan, seperti eskalasi hak akses dan konfigurasi akun yang salah. Alat ITDR relatif baru dan belum standar di semua implementasi IAM, tetapi mereka adalah komponen yang makin umum dari strategi keamanan identitas perusahaan.

Manajemen Identitas dan Akses Pelanggan (CIAM) mengatur identitas digital pelanggan dan pengguna lain yang berada di luar organisasi. Fungsi inti CIAM meliputi menangkap data profil pelanggan, mengautentikasi pengguna, dan memfasilitasi akses aman ke layanan digital, seperti situs e-commerce.

Solusi manajemen identitas dan akses berbasis cloud, juga disebut alat “identity-as-a-service” (IDaaS), mengambil pendekatan software-as- a-service (SaaS) untuk IAM.

Alat IDaaS dapat berguna dalam jaringan kompleks tempat pengguna terdistribusi masuk dari Windows, Mac, Linux, dan perangkat mobile untuk mengakses sumber daya yang terletak di lokasi dan di cloud pribadi dan publik. Jaringan ini rentan terhadap fragmentasi dan kesenjangan visibilitas, tetapi solusi IAM cloud dapat ditingkatkan untuk mengakomodasi pengguna, aplikasi, dan aset yang berbeda dalam satu sistem identitas.

Alat IDaaS juga memungkinkan organisasi untuk melakukan outsourcing beberapa aspek yang lebih membutuhkan waktu dan sumber daya dalam menerapkan sistem IAM, seperti menyiapkan direktori dan pencatatan aktivitas pengguna. 

Ketika organisasi merangkul lingkungan multicloud, AI, otomatisasi, dan pekerjaan jarak jauh, mereka perlu memfasilitasi akses aman untuk lebih banyak jenis pengguna ke lebih banyak jenis sumber daya di lebih banyak lokasi. Solusi IAM dapat meningkatkan baik pengalaman pengguna maupun keamanan siber dalam jaringan terdesentralisasi, dengan mengoptimalkan pengelolaan akses sambil melindungi dari ancaman siber umum.

Transformasi digital adalah norma bagi perusahaan saat ini, yang berarti jaringan TI yang terpusat dan sepenuhnya on premises sebagian besar merupakan sesuatu dari masa lalu. Solusi dan strategi keamanan yang berfokus pada perimeter tidak dapat secara efektif melindungi jaringan yang menjangkau perangkat di dalam dan di luar lokasi, layanan berbasis cloud, aplikasi web, dan tim pengguna manusia dan bukan manusia yang tersebar di seluruh dunia.

Akibatnya, organisasi menjadikan keamanan identitas sebagai pilar inti dari strategi keamanan siber mereka. Daripada berfokus pada tepi jaringan, lebih efektif untuk melindungi pengguna individu dan aktivitas mereka, terlepas dari di mana aktivitas tersebut terjadi.

Pada saat yang sama, organisasi harus memastikan bahwa pengguna memiliki akses sesuai permintaan yang mereka butuhkan untuk melakukan pekerjaan mereka dan tidak terhambat oleh tindakan keamanan yang terlalu memberatkan.

Sistem IAM memberikan tim IT dan keamanan cara terpusat untuk mendefinisikan dan menerapkan kebijakan akses yang disesuaikan dan sesuai dengan peraturan untuk pengguna individu di seluruh organisasi.

Alat IAM juga dapat mengautentikasi pengguna dengan aman dan membantu melacak bagaimana entitas menggunakan izin mereka—kemampuan penting dalam mempertahankan diri terhadap serangan siber berbasis identitas, yang merupakan metode pilihan bagi banyak penjahat siber saat ini.  

Menurut Laporan Biaya Pelanggaran Data IBM, pencurian kredensial merupakan penyebab utama pelanggaran data, yang menyumbang 10% serangan. Serangan berbasis kredensial ini—di mana peretas menggunakan akun pengguna yang sah untuk mengakses data sensitif—menelan biaya USD 4,81 juta dan rata-rata memakan waktu 292 hari sebelum terdeteksi dan dibendung.

Alat IAM dapat mempersulit peretas untuk melakukan serangan ini. Misalnya, MFA membuatnya agar penjahat siber membutuhkan lebih dari sekadar kata sandi untuk masuk. Bahkan jika mereka mengambil alih akun, gerakan lateral terbatas karena pengguna hanya memiliki izin yang mereka butuhkan untuk melakukan pekerjaan mereka dan tidak lebih. Dan alat ITDR dapat membuatnya lebih mudah untuk menemukan dan menghentikan aktivitas mencurigakan pada akun pengguna resmi. 

Menurut Laporan Biaya Pelanggaran Data, teknologi IAM adalah faktor kunci dalam mengurangi biaya pelanggaran, menurunkan biaya serangan rata-rata sebesar USD 189.838.

Struktur identitas adalah arsitektur identitas yang komprehensif yang mengintegrasikan semua sistem identitas dalam suatu jaringan menjadi satu kesatuan yang terpadu. Solusi IAM holistik yang menghubungkan aplikasi berbeda dan mencakup semua fungsi inti IAM merupakan alat penting dalam menciptakan infrastruktur ini.

Struktur identitas makin populer seiring dengan upaya organisasi untuk mengatasi tantangan yang timbul akibat penggunaan berbagai aplikasi dengan sistem identitas yang berbeda-beda. Menurut satu laporan, rata-rata tim menggunakan 73 aplikasi SaaS yang berbeda. Ketika aplikasi-aplikasi ini memiliki sistem identitasnya sendiri, fragmentasi tersebut menimbulkan masalah logistik dan celah keamanan.

Untuk mengatasi masalah ini, organisasi berinvestasi dalam alat identity orchestration, yang membantu sistem identitas yang berbeda berbicara satu sama lain.

Solusi IAM yang komprehensif yang menangani semua aspek kunci IAM—administrasi identitas, manajemen akses, tata kelola, audit, PAM, dan CIAM—membantu memfasilitasi orkestrasi ini. Tujuannya adalah untuk menciptakan struktur identitas di seluruh jaringan yang memungkinkan organisasi mengelola informasi identitas dan akses untuk semua aplikasi, pengguna, dan aset dalam satu platform.

Selain menyederhanakan IAM, pendekatan terintegrasi juga dapat meningkatkan keamanan. Menurut X-Force Threat Intelligence Index, konsolidasi solusi identitas adalah salah satu cara paling efektif untuk menguasai penyebaran identitas dan melindungi dari serangan berbasis identitas.

AI tradisional berbasis aturan telah menjadi bagian dari cara kerja IAM untuk waktu yang lama, mengotomatiskan alur kerja seperti autentikasi dan jejak audit. Namun, kedatangan AI generatif menghadirkan tantangan baru dan peluang baru.

Antara aplikasi baru yang didukung oleh model bahasa besar (LLM) dan agen AI otonom, AI generatif siap mendorong peningkatan signifikan dalam jumlah identitas non-manusia di jaringan perusahaan. Identitas-identitas ini sudah melebihi jumlah manusia dengan rasio 10:1 di perusahaan rata-rata.¹ Rasio tersebut mungkin segera menjadi jauh lebih besar.  

Identitas non-manusia ini sering menjadi sasaran serangan karena mereka sering memiliki tingkat akses yang relatif tinggi dan kredensial yang kurang terlindungi.

Namun, alat IAM dapat mengurangi risiko penjahat siber mengambil alih akun AI. Teknik dan alat manajemen akses istimewa yang umum, seperti rotasi kredensial otomatis dan penyimpanan kredensial yang aman, dapat mempersulit peretas untuk mencuri kredensial.

AI juga memiliki contoh penggunaan positif untuk IAM. Menurut Institute for Business Value IBM, banyak organisasi sudah menggunakan AI untuk membantu mengelola verifikasi dan otorisasi pengguna (62%) dan untuk mengontrol risiko, kepatuhan, dan keamanan (57%). Alat AI generatif dapat meningkatkan penggunaan ini.

Misalnya, beberapa alat IAM meluncurkan chatbot bertenaga LLM yang memungkinkan tim keamanan menggunakan bahasa alami untuk menganalisis kumpulan data keamanan, membuat kebijakan baru, dan menyarankan tingkat akses yang disesuaikan untuk pengguna.