Model keamanan tanpa kepercayaan tampaknya ada di bibir semua orang akhir-akhir ini. Alasan untuk ini adalah evolusi global dalam cara kami memandang keamanan dunia maya – kami menjauh dari membangun tembok di sekitar aset utama dan memilih untuk menjadi cerdas dan proaktif tentang perlindungannya. Hal ini dimungkinkan dengan berfokus pada data sebagai pengaruh keamanan dan telah menjadi inti dari seluruh konsep kepercayaan nol.
Namun, masih ada aura misteri seputar kepercayaan nol, citra kerahasiaan (semacam) yang kurang terlayani yang sejalan dengan pernyataan misinya untuk “tidak pernah percaya dan selalu memverifikasi”. Dalam artikel berikut, kami akan menghilangkan setidaknya lima mitos paling umum tentang arsitektur zero trust sambil tetap berpegang pada beberapa kebenaran yang kurang diketahui tentang bagian penting dari teka-teki keamanan saat ini.
1) Zero trust bukanlah produk, melainkan model
Ini adalah kesalahpahaman umum yang pasti telah melampaui sambutannya. Zero trust tidak dapat dibeli di toko dan Anda tidak dapat, misalnya, menggabungkan kontrol akses dan kebijakan manajemen identitas untuk mengubahnya menjadi implementasi zero trust yang lengkap.
Berdasarkan hal ini, zero trust dapat digambarkan sebagai kumpulan prinsip keamanan yang diimplementasikan di bawah payung arsitektur jaringan zero trust tertentu. Hal ini perlu didukung lebih lanjut oleh penerapan kebijakan zero trust yang memadai. Ini lebih merupakan “filosofi”, selama model keamanan Anda melibatkan minimalisasi permukaan serangan, verifikasi dalam setiap contoh, dan penghapusan ketergantungan pada model keamanan berbasis hak istimewa kuno.
Untuk mendapatkan manfaat penuh dari implementasi zero trust, Anda harus mengatur ulang seluruh pendekatan Anda terhadap organisasi dan klasifikasi data, metode otorisasi kontraktor dan vendor, serta pemetaan aset utama di jaringan. Inilah sebabnya mengapa zero trust adalah pendekatan bottom-up di mana sistem non-keamanan pun perlu diselaraskan dengan tujuan intinya.
2) Zero trust melayani organisasi yang lebih besar dan lebih kecil
Dulu, kisah zero trust sebagai model keamanan baru banyak terdengar dari mulut para pemain korporasi besar, seperti Google. Ini menaburkan benih dari kesalahpahaman yang tumbuh bahwa kepercayaan nol adalah model yang mahal, rumit, dan sulit diterapkan yang hanya cocok untuk organisasi yang lebih besar. Pada kenyataannya, pernyataan ini hanya akan berfungsi jika pelanggaran data terbatas pada perusahaan yang lebih besar, yang hampir tidak mencerminkan statistik sebenarnya.
Sebaliknya, kita dapat melihat bahwa sekitar 43% serangan dunia maya menargetkan usaha kecil (terbuka di tab baru), dengan 60% dari mereka gulung tikar setelah serangan ini. Tidak, zero trust tidak ditujukan untuk bisnis besar hanya karena organisasi yang lebih kecil terpapar ancaman dunia maya yang sama. Fakta bahwa mereka cenderung gulung tikar setelah serangan ini hanya menunjukkan bahwa usaha kecil kekurangan sumber daya yang cukup untuk pulih dari serangan dunia maya yang dimiliki oleh pemain yang lebih besar.
Selain itu, karena zero trust bukanlah sebuah produk (lihat di atas), penerapannya dapat diperkenalkan secara bertahap, yang merupakan keuntungan bagi organisasi kecil yang tidak ingin merusak bank. Dengan itu, bahkan investasi tahunan yang sederhana dalam implementasi model tanpa kepercayaan dapat mencegah perusahaan Anda dari potensi kerusakan bisnis di masa depan.
3) Implementasi tanpa kepercayaan merusak ketersediaan jaringan
Model keamanan tanpa kepercayaan lahir dari gagasan bahwa kita harus menghilangkan anggapan bahwa lalu lintas jaringan internal aman secara default. Dengan fokus yang baru ditemukan ini pada keamanan seluruh jaringan yang melampaui batas eksternal, mudah untuk (salah) berasumsi bahwa kepercayaan nol entah bagaimana akan merusak ketersediaan jaringan di seluruh organisasi.
Pada kenyataannya, menjaga tingkat pengawasan yang sama atas komponen internal keamanan jaringan sebenarnya memberi Anda lebih banyak wawasan tentang bagaimana lalu lintas beroperasi di jaringan Anda. Selain itu, Anda dapat meningkatkan visibilitas setiap pengguna di dalamnya.
Pada saat yang sama, penerapan model zero trust berfokus pada keamanan, yang menurut definisi, mengamankan aset yang ada di jaringan. Daripada harus memindahkan aset ini sepanjang waktu dan membebani sistem dengan kontrol internal tambahan, model zero trust memungkinkan Anda memanipulasi aset utama dengan lebih bebas dan efisien, hanya karena Anda tahu bahwa keamanannya tidak dapat dikompromikan sejak awal.
4) Zero trust memberikan pengalaman pengguna yang lebih buruk
Letakkan ketakutan Anda untuk beristirahat, model zero trust tidak menghambat sumber daya yang Anda butuhkan dalam berinteraksi dengan karyawan atau klien Anda. Faktanya, ini beroperasi dengan mulus jika diterapkan di seluruh organisasi. Ini berarti bahwa semuanya, mulai dari satu aplikasi hingga alur kerja harus tunduk padanya agar berfungsi dengan baik.
Pertama-tama, karyawan atau kontraktor Anda tidak akan lagi memberikan tanggung jawab keamanan kepada Anda begitu mereka memutuskan untuk berhenti berbisnis dengan Anda. Akses mereka ke aset utama akan segera diakhiri, alih-alih meninggalkan pintu belakang akses potensial dan titik lemah.
Poin kunci lainnya adalah penghapusan praktik terbebani dengan permintaan otentikasi di tingkat yang lebih rendah. Karena permintaan ini biasanya memerlukan akses yang sering ke aset oleh profil pengguna berisiko rendah, menghapusnya akan benar-benar meningkatkan pengalaman dan efisiensi pengguna Anda karena kompleksitas keseluruhan yang lebih rendah dari model keamanan baru ini.
5) Zero Trust Hanya Di Tempat?
Implementasi tanpa kepercayaan ada sebagai penerapan di tempat, ya, tetapi dapat dengan mudah diterapkan ke sistem cloud atau hybrid juga. Ini karena cloud telah menjadi bagian dari permukaan serangan virtual yang dapat terkena serangan cyber yang berbahaya.
Tidak ada yang menghalangi Anda untuk menetapkan batas area zero trust Anda ke cloud, selama Anda menyesuaikan kontrol jaringan Anda dengan lingkungan khusus ini. Salah satu pendekatan ini berarti menggunakan keamanan berbasis cloud sebagai bagian dari strategi tanpa kepercayaan Anda. Anda juga dapat meminimalkan permukaan serangan dengan menentukan konteks di mana pengguna memiliki akses ke sumber daya berbasis cloud.
Kesimpulannya
Jadi, tanpa kepercayaan berarti Anda tidak… cukup percaya? Kembali ke apa yang kami katakan di atas, zero trust paling baik dipahami sebagai perjalanan menuju keamanan yang lebih baik dan bukan solusi semalam untuk berbagai masalah. Ya, ini didasarkan pada prinsip bahwa semuanya perlu diverifikasi, tetapi ini tidak berarti bahwa organisasi Anda tiba-tiba menjadi terlalu curiga atau paranoid. Ini hanyalah cerminan dari kenyataan pahit di dunia maya saat ini.
Zero trust berusaha menghapus sistem berbasis kepercayaan dari persamaan keamanan hanya karena terlalu sering dieksploitasi dalam kecelakaan yang banyak dipublikasikan. Kepercayaan adalah gagasan yang sangat pribadi dan manusiawi dan, sebagai aset keamanan, kepercayaan memiliki terlalu banyak variabel yang tidak dapat diprediksi.
Alih-alih ini, model kepercayaan nol mengakui bahwa jaringan berskala luas saat ini adalah tempat yang tidak bersahabat, dan berpura-pura bahwa insiden keamanan selama dua dekade terakhir tidak pernah terjadi berarti mengundang pelanggaran data lagi sebagai urusan mahal yang merusak reputasi dan keuangan seseorang.