Zero Trust adalah kata kunci favorit saat ini, dan tentu saja digunakan secara bebas, dan seringkali tidak tepat. Awalnya dipahami ketika bisnis hanya memiliki sebagian kecil pekerja jarak jauh (terbuka di tab baru) masuk ke jaringan perusahaan, kebijaksanaan umum saat itu menyatakan bahwa Anda tidak dapat secara implisit memercayai autentikasi jaringan jarak jauh tersebut. (terbuka di tab baru) pengguna lagi karena mereka tidak berada di jaringan perusahaan. Solusi Zero Trust asli berfokus pada pembuktian identitas (terbuka di tab baru) dari pengguna dan perangkat.
Tentang Penulis
Neil Thacker adalah CISO EMEA/LATAM di Netskope (terbuka di tab baru).
Banyak hal telah berkembang sedikit selama bertahun-tahun, dan mungkin sekarang ada banyak pendekatan berbeda untuk Zero Trust karena ada vendor yang mendorongnya, tetapi sebagian besar keamanan siber (terbuka di tab baru) profesional akan setuju bahwa prinsip utama Zero Trust adalah beralih dari ‘kepercayaan tetapi verifikasi’ menjadi ‘verifikasi lalu percaya’.
Ini adalah ungkapan yang bagus tetapi dalam praktiknya ini adalah pernyataan yang sangat terbatas; terlalu permisif dalam lingkungan non-statis sekaligus tidak fleksibel . ‘Verifikasi lalu percaya’ mengasumsikan bahwa, setelah diverifikasi, Anda siap melakukannya. Dan jika tidak diverifikasi, pemblokiran permanen dibenarkan. Pilihan pertama meninggalkan lubang yang signifikan dalam pertahanan organisasi, dan yang terakhir akan berdampak pada produktivitas bisnis (terbuka di tab baru).
Adaptasi kepercayaan yang berkelanjutan
Apa yang sebenarnya dibutuhkan di cloud (terbuka di tab baru)-pertama, lingkungan tanpa perimeter, adalah sesuatu yang terus diadaptasi. Kata-kata tegas ‘nol’ tidak cocok dalam lingkungan yang bernuansa seperti itu. Konteks adalah kunci dan penilaian kepercayaan membutuhkan wawasan untuk secara efektif menentukan tingkat izin.
SASE adalah model arsitektur yang cukup baru untuk mengamankan real estat TI tanpa perimeter, dan memiliki keuntungan signifikan saat mengerjakan pendekatan Zero Trust karena visibilitas dan wawasan yang dimungkinkannya. Zero Trust dalam lingkungan SASE lebih tepatnya adalah ‘kepercayaan adaptif berkelanjutan’ di seluruh pengguna, perangkat, jaringan, aplikasi (terbuka di tab baru) dan data (terbuka di tab baru). Kekayaan wawasan kontekstual yang tersedia dalam platform SASE menghilangkan persyaratan untuk menempatkan kepercayaan implisit atau mendasarkan keputusan izin pada satu informasi (alamat IP (terbuka di tab baru)Misalnya). Keputusan dapat didasarkan pada seperangkat parameter yang dinilai ulang secara konstan, dibangun menggunakan beberapa elemen kontekstual yang terjalin (mis. identitas pengguna + identifikasi perangkat + waktu + geolokasi + peran bisnis + tipe data). Dan karena dengan SASE keamanannya (terbuka di tab baru) kebijakan mengikuti data, bukan pengguna atau perangkat, sumber daya itu sendiri secara efektif menentukan tingkat kepercayaan yang sesuai, hanya untuk interaksi tertentu, dinilai ulang setiap kali parameter berubah.
Mengevaluasi kepercayaan pada awal interaksi saja tidak cukup. Penilaian kepercayaan ini dapat dan harus dilakukan selama interaksi. Selama interaksi, konteks harus terus dievaluasi karena perubahan pada konteks dapat menghasilkan adaptasi (peningkatan atau penurunan) tingkat kepercayaan yang sesuai, yang pada gilirannya harus mengubah jenis akses yang diberikan ke sumber daya.
Mengelola kepercayaan
Tentu saja, harus diakui bahwa model zero trust tentu menambah beban manajemen. Pemilik sumber daya harus memikul tanggung jawab untuk menilai dengan hati-hati dan terus menyesuaikan tidak hanya daftar pengguna yang diizinkan untuk sumber dayanya, tetapi juga menentukan atribut dan elemen kontekstual yang bersama-sama menentukan tingkat akses yang diizinkan ke sumber daya. Pengelolaan hak seringkali merupakan proses manual, tetapi otomatisasi mulai menjangkau pasar.
Keseimbangan izin dan pembatasan
Keuntungan dari pendekatan kepercayaan adaptif berkelanjutan sangat banyak, tetapi tiga menonjol sebagai hal yang menarik saat menyiapkan kasus bisnis:
Lebih banyak peluang untuk menyediakan beberapa tingkat akses, untuk mengarahkan kembali sebagian besar keputusan keamanan dari “tidak” menjadi “ya, dengan syarat …” Akses yang tidak sesuai dibatasi, mengurangi radius ledakan akun yang disusupi. Visibilitas ke tipe data sensitif, lokasi, dan gerakan dalam perbaikan dan konstan.
Sementara poin dua dan tiga adalah keuntungan pengurangan risiko yang jelas, poin pertama dalam banyak hal lebih penting saat menjual pendekatan secara internal. Zero Trust menarik bagi profesional keamanan sejak Anda mendengar namanya, khususnya karena kedengarannya sangat aman dan terjamin. Jika Anda tidak mempercayai siapa pun, Anda tidak akan terluka, jadi orang yang patah hati akan memberi tahu Anda. Tetapi betapapun banyak profesional keamanan mungkin bercanda tentang betapa mudahnya pekerjaan kita tanpa basis pengguna karyawan, kita harus mengakui bahwa memberikan akses adalah bagian dari pekerjaan kita seperti halnya pembatasan dan pemblokiran. Kepercayaan adaptif berkelanjutan sejalan dengan itu, menggunakan wawasan untuk menerbitkan dan mencabut izin dinamis. Dengannya, organisasi dapat memaksimalkan produktivitas bisnis tanpa paparan yang tidak perlu.
