Zero Trust #
Zero Trust adalah model keamanan yang menolak asumsi bahwa apapun yang berada di dalam jaringan internal bisa dipercaya secara default. Konsep intinya sederhana: never trust, always verify — setiap request, dari mana pun asalnya, harus diverifikasi identitasnya, dikontrol aksesnya, dan diinspeksi konteksnya sebelum diizinkan. Zero Trust bukan produk atau teknologi tunggal — ia adalah cara berpikir dan serangkaian prinsip yang membentuk bagaimana sistem dirancang dan bagaimana akses dikelola.
Mengapa Model Perimeter Tradisional Tidak Cukup #
Model keamanan tradisional dibangun di atas asumsi “castle-and-moat” — bangun tembok yang kuat di luar, dan percayai semua yang ada di dalam.
Model Perimeter Tradisional:
Internet (tidak dipercaya)
│
│ Firewall besar di batas jaringan
▼
Jaringan Internal (dipercaya sepenuhnya)
┌─────────────────────────────────────────┐
│ Server A Server B Database Laptop │
│ saling percaya │
│ tanpa verifikasi tambahan │
└─────────────────────────────────────────┘
Asumsi yang salah:
✗ Semua yang di dalam jaringan adalah "aman"
✗ Jika seseorang sudah di dalam, bisa akses semua
Masalah nyata yang membuat model ini gagal:
1. Lateral movement setelah breach:
Attacker compromise satu laptop di dalam jaringan
→ Laptop punya akses ke semua server
→ Attacker bisa bergerak bebas ke seluruh infrastruktur
2. Insider threat:
Karyawan dengan akses jaringan = akses ke semua resource
Tidak ada pembatasan berdasarkan need-to-know
3. Cloud dan remote work menghancurkan konsep "perimeter":
→ Resource ada di cloud (di luar jaringan)
→ Karyawan kerja dari rumah (di luar jaringan)
→ SaaS tools di-akses dari mana saja
→ "Jaringan internal" tidak lagi bermakna
Prinsip Utama Zero Trust #
1. Verify Explicitly:
→ Autentikasi dan otorisasi selalu, untuk setiap request
→ Gunakan semua data yang tersedia: identitas, lokasi,
device health, service, workload, data classification
→ Jangan hanya cek "apakah user ini sudah login?"
Cek juga: dari device apa? dari mana? pukul berapa?
apakah device-nya sehat (patch terbaru, tidak di-compromise)?
2. Use Least Privilege Access:
→ Batasi akses berdasarkan kebutuhan aktual
→ Just-in-time access — minta akses saat dibutuhkan, revoke setelah selesai
→ Just-enough-access — hanya resource yang dibutuhkan untuk task ini
→ (Sudah dibahas mendalam di artikel Least Privilege)
3. Assume Breach:
→ Desain sistem seolah-olah pelanggaran sudah terjadi atau akan terjadi
→ Minimasi blast radius — jika satu komponen dikompromikan,
tidak semua sistem bisa diakses
→ Enkripsi semua data in-transit dan at-rest
→ Segmentasi jaringan — isolasi workload yang berbeda
→ Monitoring yang komprehensif untuk deteksi anomali
Pilar Arsitektur Zero Trust #
Zero Trust bukan satu teknologi — ia dibangun dari beberapa pilar yang saling melengkapi.
Identity #
Identitas adalah "perimeter baru" di Zero Trust.
Setiap identitas harus:
✓ Di-autentikasi dengan kuat (MFA, biometri, hardware key)
✓ Di-otorisasi secara granular per resource
✓ Di-monitor aktivitasnya secara kontinyu
✓ Di-evaluasi konteksnya (lokasi, waktu, device)
Continuous authentication:
→ Bukan hanya saat login — evaluasi ulang secara berkala
→ Jika konteks berubah (pindah negara tiba-tiba, waktu tidak biasa)
→ Minta re-autentikasi atau tambahan verifikasi
→ Anomali aktivitas → suspend session
Device #
Perangkat yang mengakses sistem harus juga diverifikasi.
Device yang tidak dipercaya:
✗ Device pribadi yang tidak di-manage perusahaan
✗ Device tanpa update keamanan terbaru
✗ Device yang terdeteksi malware
✗ Device dari negara/lokasi yang tidak sesuai kebijakan
Device trust signals:
→ Apakah device terdaftar di MDM (Mobile Device Management)?
→ Apakah OS-nya up-to-date?
→ Apakah disk dienkripsi?
→ Apakah ada antivirus yang aktif?
→ Apakah ada tanda-tanda compromise?
Implementasi:
→ Device compliance check sebelum izinkan akses
→ Akses berbeda berdasarkan tingkat kepercayaan device:
Managed device + MFA: akses penuh
Managed device tanpa MFA: akses terbatas
Unmanaged device: hanya akses read-only atau ditolak
Network #
Di Zero Trust, jaringan tidak lagi menjadi penentu kepercayaan.
Tapi network segmentation tetap penting untuk membatasi blast radius.
Micro-segmentation:
→ Bukan hanya pisahkan "dalam" dan "luar"
→ Setiap workload di-isolasi satu sama lain
→ Komunikasi antar workload dikontrol secara eksplisit
→ Default: tolak semua, izinkan hanya yang didefinisikan
Contoh:
Tanpa micro-segmentation:
Web Server → Database: boleh (karena sama-sama "internal")
Web Server → Payment Service: boleh
Web Server → HR System: boleh (padahal tidak perlu!)
Dengan micro-segmentation:
Web Server → Database (port 5432): boleh
Web Server → Payment Service (port 443): boleh
Web Server → HR System: TOLAK (tidak ada alasan bisnis)
Semua komunikasi lain: TOLAK by default
Service Mesh (untuk microservices):
→ Sidecar proxy di setiap service
→ mTLS otomatis antar service — semua komunikasi terenkripsi
dan ter-autentikasi
→ Policy dikontrol terpusat
→ Observability: semua request di-trace dan di-log
Application dan Data #
Application:
→ Aplikasi tidak punya "implicit trust" hanya karena berjalan di internal
→ Setiap aplikasi harus autentikasi dan otorisasi secara eksplisit
→ Single Sign-On (SSO) untuk konsistensi pengalaman user
→ Scoped permissions — token dengan scope terbatas per aplikasi
Data:
→ Klasifikasikan data berdasarkan sensitivitasnya
→ Enkripsi at-rest dan in-transit selalu
→ Akses berbeda berdasarkan klasifikasi data:
Public data: akses luas
Internal data: autentikasi diperlukan
Confidential: MFA + device trust + justifikasi bisnis
Highly restricted: approval workflow + audit khusus
Implementasi Bertahap Zero Trust #
Zero Trust bukan sesuatu yang di-switch semua sekaligus. Ini adalah perjalanan bertahap.
Fase 1 — Pondasi Identitas (mulai di sini):
✓ Aktifkan MFA untuk semua user
✓ Implementasikan SSO
✓ Inventarisasi semua identitas dan permission yang ada
✓ Terapkan least privilege — hapus permission berlebih
Fase 2 — Visibilitas:
✓ Aktifkan logging komprehensif (siapa akses apa, kapan, dari mana)
✓ Centralized log aggregation
✓ Baseline behavior — pahami apa yang "normal"
✓ Alert untuk anomali
Fase 3 — Device Trust:
✓ MDM untuk device management
✓ Device compliance check sebelum akses ke resource sensitif
✓ Certificate-based device identity
Fase 4 — Network Segmentation:
✓ Micro-segmentation untuk workload kritis
✓ Service mesh untuk komunikasi antar service
✓ Eliminasi lateral movement paths
Fase 5 — Continuous Monitoring dan Improvement:
✓ Anomaly detection otomatis
✓ Automated response (suspend session jika anomali terdeteksi)
✓ Regular review dan audit permission
✓ Red team exercise untuk validasi
Catatan penting:
Zero Trust adalah destination, bukan switch yang bisa dinyalakan.
Mulai dari fase 1, iterasi secara bertahap.
Bahkan implementasi parsial sudah jauh lebih baik dari perimeter-only.
Ringkasan #
- Zero Trust: “never trust, always verify” — tidak ada yang dipercaya secara default, bahkan yang ada di dalam jaringan internal sekalipun.
- Model perimeter tradisional gagal di era cloud dan remote work — “jaringan internal” bukan lagi konsep yang bermakna ketika resource ada di cloud dan user bekerja dari mana saja.
- Tiga prinsip utama: verify explicitly, use least privilege, assume breach — desain sistem dengan asumsi breach sudah atau akan terjadi; minimasi dampaknya.
- Identitas adalah perimeter baru — autentikasi kuat + otorisasi granular + monitoring kontinyu per identitas, bukan per lokasi jaringan.
- Micro-segmentation membatasi lateral movement — jika satu komponen dikompromikan, attacker tidak bisa bebas bergerak ke seluruh infrastruktur.
- Zero Trust adalah perjalanan, bukan switch — mulai dari MFA dan least privilege, tambahkan lapisan secara bertahap. Implementasi parsial jauh lebih baik dari tidak sama sekali.