Oleh: Kenneth Lai, Wakil Presiden, ASEAN, Cloudflare
[Redaksi]Dalam lanskap ancaman siber yang semakin kompleks, Zero Trust kian menjadi kebutuhan. Namun adopsinya tidak mudah. Cloudflare menyarankan lima proyek sederhana ini, tapi berdampak signifikan, untuk memulai implementasi Zero Trust.
Zero Trust memerlukan pekerjaan yang harus diwaspadai oleh pihak keamanan dan TI. Hal ini melibatkan pemikiran ulang kebijakan default-allow dan arsitektur jaringan berbasis perimeter, sehingga memungkinkan kolaborasi antara tim yang berbeda secara fungsional, dan memercayai layanan keamanan baru.
Adalah dapat dimengerti jika beberapa organisasi mungkin menunda transformasi ini, dengan alasan ketidakpastian yang terlibat dalam mengadopsi Zero Trust di seluruh organisasi. Beragamnya penawaran vendor yang tersedia, ditambah dengan banyaknya sumber informasi yang berbeda, dan potensi gangguan pada alur kerja saat in adalah semua hal yang dapat menghalangi organisasi dalam menerapkan keamanan Zero Trust.
Meski demikian, lanskap ancaman yang dihadapi bisnis terus berkembang dan dipenuhi oleh penyerang yang menggunakan metode yang semakin canggih untuk membidik korban yang tak menaruh kecurigaan. Data dalam jaringan Cloudflare sendiri, salah satu jaringan terbesar dan paling saling terhubung di dunia, mengungkapkan bahwa rata-rata 7,7 miliar ancaman siber per hari menyasar wilayah Asia Tenggara pada Q2 2024.
Dengan kata lain, pendekatan Zero Trust mungkin bukan lagi strategi opsional di era digital saat ini. Para pemimpin keamanan perlu bangkit dan terdepan dalam hal postur keamanan organisasi mereka, atau berisiko rentan terhadap serangan siber.
Mengambil langkah pertama menuju penerapan Zero Trust
Apa sebenarnya yang dimaksud dengan Zero Trust? Dalam konteks jaringan, keamanan Zero Trust mengharuskan setiap permintaan yang masuk, keluar, atau dalam jaringan perusahaan diperiksa, diautentikasi, dienkripsi, dan dicatat. Hal ini didasarkan pada gagasan bahwa tidak ada permintaan yang boleh dipercaya secara implisit, dari mana pun asalnya atau kemana pun tujuannya. Setiap permintaan harus divalidasi.
Mendorong kemajuan awal menuju Zero Trust berarti membangun kapabilitas ini dari nol. Bagi organisasi yang memulai dari awal, hal ini sering kali berarti memperluas kapabilitas di luar 'perimeter jaringan' tunggal.
Berikut adalah lima proyek adopsi Zero Trust paling sederhana yang berfokus pada pengamanan pengguna, aplikasi, jaringan, dan lalu lintas Internet. Proyek-proyek ini tidak akan mencapai Zero Trust yang komprehensif sendirian, tetapi proyek-proyek ini menawarkan manfaat langsung, menciptakan momentum awal, dan meletakkan dasar bagi transformasi yang lebih luas.
1. Autentikasi multifaktor untuk aplikasi penting
Dalam pendekatan Zero Trust, jaringan harus sangat yakin bahwa permintaan berasal dari entitas tepercaya. Organisasi perlu menetapkan perlindungan terhadap pencurian kredensial pengguna melalui phishing atau kebocoran data.
Autentikasi multifaktor atau multifactor authentication (MFA) adalah perlindungan terbaik terhadap pencurian kredensial tersebut. Meskipun peluncuran MFA yang lengkap mungkin memerlukan waktu yang lama, fokus pada aplikasi terpenting adalah cara yang lebih sederhana tapi berdampak.
Organisasi yang telah memiliki identity provider (IdP) dapat menyiapkan MFA langsung dalam sistem tersebut, melalui kode satu kali atau notifikasi push dalam aplikasi yang dikirim ke perangkat seluler karyawan.
Bahkan tanpa identity provider, organisasi dapat memilih cara yang berbeda dan sederhana. Menggunakan platform sosial seperti Google, LinkedIn, dan Facebook, atau one-time passwords (OTP) atau kata sandi satu kali yang dikirim ke nomor seluler, dapat membantu memeriksa ulang identitas pengguna.
Ini adalah cara umum untuk akses DIY bagi kontraktor pihak ketiga tanpa menambahkannya ke penyedia identitas perusahaan, dan juga dapat diterapkan di dalam perusahaan itu sendiri.
2. Penegakan kebijakan Zero Trust untuk aplikasi penting
Menerapkan Zero Trust lebih dari sekadar memverifikasi identitas pengguna. Aplikasi juga harus dilindungi dengan kebijakan yang selalu memverifikasi permintaan, mempertimbangkan berbagai perilaku dan faktor kontekstual sebelum mengautentikasi, dan terus memantau aktivitas. Seperti dalam Proyek 1, penerapan kebijakan ini menjadi lebih mudah jika diterapkan pada daftar awal aplikasi penting.
3. Memantau aplikasi email dan melakukan filtering terhadap upaya phishing
Email adalah cara utama sebagian besar organisasi berkomunikasi, aplikasi SaaS yang paling banyak digunakan, dan titik masuk yang paling umum bagi penyerang. Organisasi perlu memastikan bahwa mereka menerapkan prinsip Zero Trust pada email mereka untuk melengkapi filter dan inspeksi ancaman standar mereka.
Selain itu, profesional keamanan harus mempertimbangkan untuk menggunakan browser yang terisolasi untuk mengarantina tautan yang tidak terlihat mencurigakan untuk diblokir sepenuhnya.
4. Tutup semua port masuk yang terbuka ke Internet untuk pengiriman aplikasi
Port jaringan masuk yang terbuka merupakan vektor serangan umum lainnya dan harus diberi perlindungan Zero Trust, hanya menerima lalu lintas dari sumber yang dikenal, tepercaya, dan terverifikasi.
Port ini dapat ditemukan menggunakan teknologi pemindaian. Kemudian, proksi terbalik Zero Trust dapat mengekspos aplikasi web ke Internet publik dengan aman tanpa membuka port masuk apa pun. Satu-satunya catatan aplikasi yang dapat dilihat publik adalah catatan DNS-nya — yang dapat dilindungi dengan kemampuan autentikasi dan pencatatan Zero Trust.
Sebagai lapisan keamanan tambahan, DNS internal/pribadi dapat dimanfaatkan menggunakan solusi Akses Jaringan Zero Trust.
5. Blokir permintaan DNS ke ancaman yang diketahui atau tujuan yang berisiko
DNS filtering adalah praktik mencegah pengguna mengakses situs web dan sumber daya Internet lainnya yang diketahui atau diduga berbahaya. Hal ini tidak selalu masuk dalam pembahasan Zero Trust karena tidak melibatkan pemeriksaan atau pencatatan lalu lintas.
Namun, dengan adanya DNS filtering, organisasi dapat memastikan adanya perlindungan mengenai tempat pengguna (atau kelompok pengguna) dapat mentransfer dan mengunggah data — yang sejalan dengan filosofi Zero Trust yang lebih luas.
Memahami Gambaran Zero Trust yang Lebih Luas
Lima proyek ini dapat menjadi langkah awal yang relatif mudah untuk menuju pada adopsi Zero Trust. Setiap organisasi yang menyelesaikan proyek-proyek ini akan membuat kemajuan signifikan menuju keamanan yang lebih baik dan lebih modern, serta membangun fondasi yang kokoh.
Meskipun demikian, penerapan Zero Trust yang lebih luas tetap menjadi topik yang rumit bagi organisasi saat ini. Perjalanan setiap orang akan sedikit berbeda, tergantung pada prioritas, kebutuhan, dan rencana masa depan bisnis.
Yang terpenting, para pemimpin keamanan perlu menetapkan tujuan yang jelas dalam roadmap Zero Trust untuk mendapatkan kembali kendali atas lingkungan TI-nya. Serangan jahat menjadi lebih kreatif dari sebelumnya untuk menemukan cara yang lebih efektif untuk menyusup ke organisasi dan mengaburkan tim keamanan melalui banyak titik kontak digital yang ada saat ini. Hanya dengan rencana yang jelas, organisasi dapat membuat karyawan, aplikasi, dan jaringan mereka lebih cepat dan lebih aman di mana saja, sekaligus mengurangi kompleksitas dan biaya.
Baca juga: Begini Cara Cloudflare Cegah Bot AI Ambil Data Situs Web Tanpa Izin
Baca juga: Veeam Bagikan Tips Mewujudkan Konsep Zero Trust di Perusahaan