Apa itu zero trust? Buzzword? Tumpukan teknologi keamanan baru? Penjelasan tuntas zero trust.

Pendahuluan

Sudah bertahun-tahun istilah “zero trust” digembar-gemborkan. SASE, ZTNA, hingga penguatan IAM sering dipasarkan bak sihir era baru. Namun dari sudut pandang engineer di lapangan, tidak sedikit yang sinis dan berkata, “Bukankah ini hanya memperketat autentikasi?”

Jadi, apakah zero trust sungguh-sungguh paradigma keamanan baru, atau hanya sekadar buzzword? Tulisan ini mengkaji secara kritis apa sesungguhnya yang dimaksud.

Asumsi awal: keamanan berbasis perimeter

Pertama, mari meninjau kembali model keamanan konvensional. Pada era IPv4, LAN terlindungi oleh ruang alamat privat dan NAT, sehingga nyaris tidak tersentuh langsung dari luar. Ditambah lagi, firewall memblokir lalu lintas “dari luar ke dalam”, sehingga cukup menjaga perimeter agar bagian dalam aman—asumsi ini bekerja dengan baik selama bertahun-tahun.

Model tersebut sangat kuat dan nyata-nyata menopang keamanan pemakaian internet dari 1990-an hingga 2010-an. “Begitu terhubung VPN, semuanya bebas”—itulah gambaran klasik keamanan berbasis perimeter.

Mengapa zero trust naik daun

Situasinya berubah.

Adopsi cloud dan perangkat mobile

Karyawan mengakses SaaS dari rumah atau kafe, membuat batas jaringan menjadi kabur.

Ancaman orang dalam dan pergerakan lateral malware

Begitu penyerang menembus sekali, interior LAN—“pulau kepercayaan”—dibiarkan terbuka lebar.

Pengaruh Google BeyondCorp

Program BeyondCorp milik Google mempopulerkan gagasan “merobohkan perimeter” sebagai arah baru keamanan.

Dari sana muncullah panji bernama “zero trust”. Slogannya, “jangan percaya siapa pun”, memiliki daya tarik yang besar, terutama bagi jajaran eksekutif.

Kesalahpahaman yang mengitari zero trust

Faktanya, lembaga seperti NIST atau CISA tidak pernah menyerukan “buang perimeter sepenuhnya”. Yang mereka tekankan adalah kenyataan bahwa “transisi dilakukan bertahap, dan sebagian besar organisasi akan menjalankan hibrida antara perimeter dan zero trust”.

Lalu kenapa muncul anggapan seolah zero trust adalah peluru perak universal?

• Vendor ingin memposisikan rangkaian produk mereka sebagai “elemen wajib zero trust”.
• Studi kasus Google kerap disalahartikan sebagai “model komplet yang bisa ditiru siapa saja”.
• Setelah insiden, orang sering berkata “kalau zero trust pasti lolos”, menjadikannya kata penjelasan setelah kejadian.

Artinya, sebagai konsep zero trust memang konsisten, tetapi sebagai kata tren ia dibesar-besarkan.

Jebakan “perimeter tidak lagi perlu”: selama klien gemuk masih ada, perimeter tetap dibutuhkan

Ada poin penting di sini. Jika semua orang memakai thin client tanpa menyimpan data lokal, desain zero trust memang cocok. Namun realitasnya, perusahaan masih bergantung pada rich client—PC penuh fungsi—untuk bekerja.

Rich client menampung aplikasi dan data secara lokal. Ketika perangkat terinfeksi, penyerang bisa menembus autentikasi sah lalu bergerak di dalam. Menahan gerak lateral itu tetap membutuhkan kontrol ala perimeter seperti firewall dan segmentasi jaringan.

Dengan kata lain, memaknai “zero trust = perimeter tidak perlu” adalah keliru. Tantangan desain sebenarnya ialah mengoptimalkan seberapa tebal perimeter sesuai konteks.

Jadi, apa sebenarnya zero trust?

Setelah dirapikan, hakikat zero trust ternyata sangat sederhana.

• Citra yang salah kaprah

  • “Teknologi baru nan ajaib”
  • “Revolusi yang menghapus perimeter”
  • “Obat mujarab serba bisa”

• Isi yang sebenarnya

  • Berhenti berasumsi “karena berada di dalam LAN maka otomatis aman”
  • Merangkai teknologi yang sudah ada—autentikasi, otorisasi, pemeriksaan kesehatan perangkat, pemantauan log—untuk mewujudkan operasi keamanan yang meniadakan asumsi kepercayaan implisit

Tidak ada elemen yang benar-benar baru:

• MFA (multi-factor authentication)
• Federasi SAML atau OAuth
• MDM (mobile device management)
• EDR (endpoint detection and response)
• CASB (cloud access security broker)
• SASE (layanan jaringan dan keamanan terkonvergensi)

Zero trust hanya membungkus dan membingkai ulang semuanya dengan satu prinsip pemersatu.

Kesimpulan: nilai sejati zero trust

Apakah zero trust sekadar buzzword atau tumpukan teknologi? Jawabannya: ini memang buzzword yang mengemas sebuah falsafah operasi—tetapi berharga karena menantang asumsi usang.

Ketika seseorang bertanya, “Apa itu zero trust?”, jawabannya seperti ini:

Ini adalah praktik menanggalkan asumsi bahwa interior perimeter (misalnya LAN) inheren aman, lalu mengorkestrasi teknologi yang relevan untuk menjalankan operasi keamanan yang menghilangkan kepercayaan implisit. Tanpa pola pikir itu, realitas kini tidak lagi berjalan.

Zero trust bukan produk ajaib. Namun setelah lapisan marketing dilepas, pola pikir arsitektural yang tertinggal memang berguna.

FAQ

T: Apa bedanya zero trust dengan VPN? J: VPN adalah “kunci” memasuki perimeter; begitu di dalam, pengguna dipercaya. Zero trust terus mengautentikasi dan memantau bahkan setelah pengguna “berada di dalam”.

T: Apakah zero trust membuat firewall tak berguna? J: Tidak. Terutama di lingkungan dengan rich client, kontrol ala perimeter tetap diperlukan untuk menghentikan endpoint terinfeksi bergerak lateral.

T: Bisakah UKM mengadopsi zero trust? J: Bisa—secara bertahap. Mulai dari MFA, lalu kuatkan logging dan pemantauan, kemudian perluas.

T: Apakah zero trust teknologi baru? J: Komponen teknologinya bukan hal baru. Zero trust hanya mengemasnya sebagai model operasi terpadu.

Referensi lanjutan

• NIST Zero Trust Architecture
• CISA Zero Trust Maturity Model
• Google BeyondCorp