Di dunia mobile dan cloud-first saat ini, zero trust telah menjadi persyaratan utama bagi organisasi yang ingin mengamankan infrastruktur digital tempat aplikasi, data, pengguna, dan perangkat mereka berada.
Ada sedikit keraguan bahwa COVID-19 mengubah aturan main terkait keamanan perusahaan. Secara historis, model keamanan didasarkan pada arsitektur gaya ‘kastil dan parit’ di mana jaringan dan pusat data perusahaan dijaga oleh firewall di sekelilingnya. Saat pengguna meninggalkan jaringan perusahaan ‘tepercaya’, VPN digunakan untuk memperluas jaringan perusahaan kepada mereka.
Namun, pergeseran besar-besaran ke pekerjaan jarak jauh yang disebabkan oleh pandemi membuat pendekatan keamanan yang berpusat pada perimeter ini tidak lagi dapat dilakukan. Akibatnya, pendekatan tanpa kepercayaan terhadap keamanan jaringan dengan cepat ditetapkan sebagai praktik terbaik untuk meminimalkan risiko pelanggaran dunia maya.
Sejak saat itu, meningkatnya kecanggihan penjahat dunia maya dikombinasikan dengan kebutuhan akan fleksibilitas arsitektur yang lebih besar untuk mendukung fungsionalitas B2B yang baru berarti bahwa banyak organisasi kini mengembangkan pendekatan mereka menuju kepercayaan nol.
Akibatnya, konsep ‘keamanan yang mengutamakan identitas’ muncul pada tahun 2023 karena organisasi memprioritaskan inisiasi kerangka kerja otorisasi untuk menentukan siapa yang memiliki akses ke informasi apa, dan kapan.
Identitas: perimeter keamanan baru
Realitas kerja-dari-mana saja yang tersebar secara digital saat ini berarti nol kepercayaan telah menjadi semakin penting karena batas jaringan meluas ke titik di mana, dalam istilah praktis, konsep ‘di dalam batas’ tidak lagi berlaku.
Kabar baiknya adalah bahwa profesional keamanan dapat memanfaatkan teknologi dewasa yang menangani prinsip dasar tanpa kepercayaan, terutama seputar kontrol akses jaringan dan otentikasi tingkat lanjut.
Masalahnya adalah bahwa solusi seperti integrasi dan segregasi gateway, SD-WAN yang aman, dan secure access service edge (SASE) terutama berfokus pada pengendalian akses di tingkat jaringan saja untuk memecahkan atau meminimalkan risiko pelanggaran dunia maya. Namun penerapan zero trust yang benar-benar kuat memerlukan tiga tingkat kontrol akses — akses ke jaringan, akses ke aplikasi, dan akses ke aset intra-aplikasi. Tanpa pendekatan lengkap ini, perlindungan zero trust sejati sulit dicapai.
Dengan tekanan untuk mengamankan aset dan interaksi digital mereka, semakin banyak pemimpin keamanan kini menyadari bahwa inilah saatnya untuk mengembangkan arsitektur zero trust mereka dan memprioritaskan penerapan rezim keamanan yang mengutamakan identitas. Memastikan bahwa identitas dan aksesnya diverifikasi dan dikendalikan di semua tingkat tumpukan teknologi organisasi, termasuk titik akses, jaringan, aplikasi, layanan, API, data, dan infrastruktur.
Dengan melakukan itu, mereka akan dapat menyelesaikan masalah tentang apa yang terjadi ketika penjahat dunia maya menggunakan kredensial yang diperoleh melalui phishing atau kekerasan untuk menembus jaringan dan bergerak secara lateral untuk mengakses sistem atau data.
Keamanan yang mengutamakan identitas: apa itu, dan apa yang mendorong adopsi?
Perdagangan digital dan tuntutan pekerjaan jarak jauh telah menciptakan peluang baru dan kerentanan risiko keamanan. Akibatnya, tenaga kerja digital dan konsumen membutuhkan lebih banyak akses ke aset digital dari berbagai perangkat, sumber, dan lokasi.
Untuk mengamankan interaksi digital ini, organisasi perlu memastikan bahwa individu diberi otorisasi sepanjang perjalanan pengguna digital mereka dan diberikan tingkat akses yang tepat ke aset digital yang sesuai. Terlepas dari apakah akses dilakukan melalui cloud atau lokal.
Oleh karena itu, IAM (Identity and Access Management) mengalami saat-saat cerah saat perusahaan berupaya memulai kontrol akses data tingkat lanjut yang akan mengamankan dan melindungi aset digital sambil meminimalkan gesekan selama perjalanan digital pengguna.
Hal ini pada gilirannya mendorong munculnya kembali dan relevansi otorisasi, yang telah menjadi komponen dasar platform IAM selama beberapa dekade. Seiring meningkatnya pengakuan bahwa lebih banyak yang harus dilakukan untuk memastikan perjalanan pengguna yang aman, permintaan untuk kerangka kerja otorisasi lanjutan yang memungkinkan untuk mengamankan data pada titik akses utama seperti gateway API, aplikasi, layanan mikro, dan danau data juga meningkat. Sehingga pengguna dapat menikmati pengalaman yang paling aman dan ramah pengguna.
Apa selanjutnya untuk keamanan berbasis identitas?
Meningkatnya kebutuhan untuk bekerja dan berkolaborasi dengan data mendorong organisasi untuk mengkonsolidasikan data di hub data cloud yang akan menambah kompleksitas tantangan keamanan saat ini.
Karena biaya yang terkait dengan pelanggaran data terus meningkat, inisiatif terkait otorisasi seperti akses run-time, kontrol akses API, dan kontrol akses berbasis kebijakan (PBAC) semuanya menjadi prioritas IAM teratas bagi organisasi yang ingin memastikan bahwa -versus yang sesuai tidak terbatas — akses hanya diberikan kepada identitas pengguna tepercaya secara dinamis dan real-time.
Sementara kontrol akses berbasis peran dan atribut (RBAC dan ABAC) menawarkan organisasi metodologi yang kompeten untuk pembuatan kebijakan, PBAC dengan cepat muncul sebagai pendekatan manajemen dan pembuatan kebijakan otorisasi yang paling efektif. Menawarkan GUI yang mudah digunakan untuk membangun logika kebijakan yang meniadakan kebutuhan akan keahlian teknis dan pengkodean, PBAC membuat otorisasi dapat dikelola untuk semua orang, termasuk pemilik bisnis dan analis data.
Indikasinya adalah pada tahun 2023 kebijakan kontrol akses akan menjadi metode pilihan untuk mengontrol akses. Memang, semakin banyak vendor teknologi dan cloud kini menawarkan opsi kebijakan selain hak dan metode berbasis peran yang, hingga saat ini, secara tradisional masih berlaku. Ini merupakan langkah maju yang sangat positif sehubungan dengan penyederhanaan ruang teknologi yang menantang ini.
Tetap selangkah lebih maju dari ancaman dunia maya pada tahun 2023
Di era di mana taktik dan teknologi yang digunakan oleh aktor jahat menjadi semakin menantang untuk diatasi dengan solusi keamanan lama, zero trust menawarkan pendekatan yang kuat untuk mengurangi risiko dan kerusakan yang ditimbulkan oleh pelanggaran keamanan.
Namun, di era yang semakin ditandai dengan kolaborasi berbasis cloud, ledakan pertumbuhan data, dan lingkungan kerja dari mana saja, keamanan yang mengutamakan identitas didukung oleh akses lanjutan dan kontrol otorisasi akan terbukti penting untuk melindungi orang, jaringan, dan data.
Pada tahun 2023, pemimpin keamanan yang ingin sepenuhnya yakin dengan kelengkapan kerangka kerja zero trust mereka memprioritaskan penerapan kontrol akses data tingkat lanjut yang sadar identitas, dinamis, terperinci, dan diatur oleh kebijakan.
Kredit gambar: Olivier26/depositphotos.com
Gal Helemski adalah CTO dan Co-founder dari PlainID.
