Lupakan cara lama yang menganggap semua yang ada di dalam jaringan kantor itu aman. Di era kerja jarak jauh (remote work) dan layanan berbasis cloud, pendekatan itu sudah usang. Mari kita bedah apa itu Zero Trust dengan bahasa yang sederhana dan mudah dimengerti.
Apa itu Keamanan 'Zero Trust'?
Bayangkan sebuah gedung yang sangat aman.
Dalam model keamanan tradisional, satpam hanya akan memeriksa orang yang ingin masuk ke pintu utama dengan sangat ketat. Setelah masuk, orang tersebut bisa bebas bergerak ke mana saja di dalam gedung.
Berbeda dengan model Zero Trust yang jauh lebih ketat.
Semua pintu, termasuk pintu toilet, dijaga oleh satpam yang berbeda. Setiap kali seseorang ingin masuk ke ruangan baru, ia harus menunjukkan identitasnya dan membuktikan bahwa ia memiliki izin masuk, baik itu orang penting seperti direktur utama atau tamu biasa.
Intinya, prinsip dasar Zero Trust adalah "Jangan pernah percaya, selalu verifikasi" (Never trust, always verify).
Model ini tidak mempercayai siapa pun atau apa pun yang mencoba mengakses sistem, baik dari dalam maupun luar jaringan.
Mengapa Model Lama Sudah Tidak Cukup?
Dulu, keamanan siber diibaratkan seperti benteng istana (castle-and-moat). Ada tembok tebal (firewall) yang melindungi semua yang ada di dalamnya. Siapapun yang sudah berada di dalam dianggap "terpercaya".
Masalahnya, dunia sudah berubah:
Kerja Jarak Jauh: Karyawan kini mengakses data perusahaan dari berbagai lokasi dan perangkat pribadi. Batasan "dalam" dan "luar" jaringan menjadi kabur.
Cloud Computing: Banyak data dan aplikasi perusahaan yang tidak lagi tersimpan di server fisik di kantor, melainkan di cloud.
Serangan dari Dalam: Riset menunjukkan banyak kebocoran data justru disebabkan oleh pihak internal, baik sengaja maupun tidak.
Model benteng istana tidak bisa lagi diandalkan jika ancaman bisa datang dari mana saja, termasuk dari dalam.
Prinsip Utama Zero Trust
Untuk memahami cara kerjanya, kita perlu tahu tiga pilar utamanya:
1. Verifikasi Secara Eksplisit
Setiap pengguna dan perangkat yang mencoba mengakses sumber daya harus membuktikan identitasnya. Ini tidak cukup hanya dengan password. Seringkali, ini melibatkan Autentikasi Multi-Faktor (MFA), misalnya kombinasi password, kode dari ponsel, dan sidik jari.
2. Berikan Hak Akses Minimal (Least Privilege)
Setelah identitas terverifikasi, pengguna hanya diberi akses ke data atau sistem yang benar-benar mereka butuhkan untuk pekerjaannya. Tidak lebih. Seorang desainer grafis, misalnya, tidak perlu punya akses ke data keuangan perusahaan. Ini membatasi kerusakan jika akun mereka diretas.
3. Asumsikan Adanya Pelanggaran (Assume Breach)
Model ini selalu waspada dan mengasumsikan bahwa peretas sudah berada di dalam jaringan. Caranya? Dengan melakukan segmentasi mikro. Jaringan dipecah menjadi bagian-bagian kecil yang terisolasi. Jadi, jika satu bagian disusupi, peretas tidak akan bisa leluasa menyebar ke bagian lain dari sistem. Semua aktivitas di jaringan juga terus dipantau untuk mendeteksi perilaku yang mencurigakan.
Bagaimana Cara Kerjanya dalam Praktik?
Secara sederhana, alur kerja Zero Trust adalah sebagai berikut:
Identifikasi: Siapa atau apa yang meminta akses? (Pengguna, aplikasi, atau perangkat)
Verifikasi: Buktikan identitas Anda! (Login dengan password + kode OTP + cek kesehatan perangkat)
Otorisasi: Apakah Anda punya izin untuk mengakses sumber daya ini? (Sistem mengecek kebijakan keamanan)
Akses Diberikan: Jika semua aman, akses diberikan, tetapi hanya untuk sumber daya yang diminta dan terus diawasi.
Proses ini terjadi secara terus-menerus setiap kali ada permintaan akses baru. Tidak ada istilah "sekali masuk, bebas selamanya."
