Konsep Zero Trust Model
Sesuai dengan namanya, Zero Trust Model merupakan model cybersecurity berbasiskan pada penyikapan bahwa setiap bagian dari network tak bisa sepenuhnya dipercaya tingkat keamanannya atau dengan kata lain dinyatakan bahwa level kepercayaan kita terhadap jaringan diasumsikan tak ada sama sekali. Dengan demikian tak ada lagi perbedaan antara external network ataupun internal network. Keduanya dianggap punya potensi ketidakamanan yang tinggi.
Akibatnya kini tak ada lagi istilah zona aman. Semua sektor harus ditingkatkan keamanannya tanpa terkecuali secara sepadan dan dengan tingkat perhatian yang sama besar. Ringkasnya zero trust security adalah model arsitektur keamanan jaringan yang mendasarkan diri pada konsep bahwa jaringan disangkakan sebagai wilayah berisiko yang mana ancaman dari luar dan dalam (internal) selalu hadir sepanjang waktu.
Pendekatan Zero Trust Model
Model zero trust merupakan pendekatan sikap yang tak mudah percaya begitu saja, selalu melaksanakan verifikasi, dan pemaksaan pemanfaatan prinsip least privilege untuk setiap pengajuan akses terhadap sistem. Pemberian akses least privilege ini berdasarkan pada evaluasi dinamis tingkat kepercayaan terhadap user dan perangkatnya serta risiko transaksi informasi yang akan dilakukan sebelum mereka diizinkan untuk mengakses sumberdaya yang ada di dalam network. Hal ini disebut sebagai Tust-Centric model dan merupakan kerangka dasar dari Zero Trust security.
Tapi perpindahan dari Trusted Perimeter Model menuju Zero Trust Model akan berarti bahwa static security policies yang sudah diimplementasikan menjadi obsolete. Oleh karenanya, perlu ada evaluasi, adaptasi, dan deployment kebijakan keamanan yang dapat mengatasi ancaman yang kini berkarakter selalu berubah di lingkungan yang dinamis.
Google dengan BeyondCorp
Google adalah salah satu organisasi enterprise yang sukses menerapkan Zero Trust Model. Google memanfaatkan Zero Trust Model ke dalam inisiatif “BeyondCorp” dengan salah satu misinya: “Setiap karyawan Google dapat bekerja dengan sukses dari untrusted network tanpa menggunakan akses VPN”. BeyondCorp sekarang tersedia sebagai GCP service yang disebut sebagai Identity-Aware Proxy (IAP).
Kini model zero trust security telah banyak dimanfaatkan oleh berbagai perusahaan yang berkiprah dalam transaksi digital atau yang memang memiliki kepedulian terhadap keamanan informasi di lingkungan IT-nya. Model ini dianggap sebagai model keamanan masa depan dan sampai saat ini dianggap paling optimal dalam mempertahankan keamanan informasi dari akses yang tidak terotorisasi seraya memastikan bahwa setiap akses yang diizinkan sedapat mungkin adalah least privilege.
Model Keamanan Masa Depan
Solusi keamanan dengan konsep Zero Trust ini sudah di provide oleh beberapa perusahaan prinsipal teknologi keamanan informasi. Tapi penerapannya memerlukan proses adaptasi dan perencanaan yang hati-hati karena penerapannya berarti menggantikan model keamanan eksisting, yaitu: trusted perimeter model. Model keamanan Zero Trust Security ini berpotensi diterapkan di perusahaan yang mengandalkan IT sebagai backbone proses bisnisnya sehingga meningkatkan kualitas keamanan sistem informasi.
Selain itu, implementasi model atau teknologi baru harus dibarengi dengan adanya suprastruktur yang menjadi landasan rasional yang sistematis dalam mewujudkan keamanan informasi. Salah satunya dengan melaksanakan terlebih dulu sistem manajemen keamanan informasi dengan mengacu pada framework keamanan informasi yang populer seperti: cybersecurity framework ataupun penerapan standart ISO 27001:2013.
===
Penulis : Abdulloh, S.Si, M.Si. Seorang Praktisi di bidang Manajemen Teknologi Informasi. Saat ini bekerja sebagai konsultan dan auditor manajemen teknologi informasi di PT. NetSolution.