Nol Kepercayaan vs. Hak Istimewa Terkecil

Dalam lanskap digital yang terus berkembang, keamanan siber menjadi hal yang sangat penting. Organisasi menghadapi beragam tantangan yang semakin besar, sehingga memerlukan penerapan kerangka keamanan yang kuat. Dua kerangka kerja keamanan siber yang terkenal adalah Zero Trust Network Access (ZTNA) dan Prinsip Least Privilege (POLP). Panduan komprehensif ini mengeksplorasi aspek teknis dari sistem ini, memungkinkan manajer TI untuk menilai persamaan, perbedaan, kelebihan, dan kekurangannya, dan pada akhirnya memilih kerangka kerja yang paling sesuai dengan kebutuhan spesifik organisasi mereka.

Apa itu Nol Kepercayaan?

Zero Trust (ZT), sebuah model keamanan yang menantang model keamanan berbasis perimeter tradisional, beroperasi berdasarkan aturan mendasar: “Jangan pernah percaya, selalu verifikasi.” Diperkenalkan oleh John Kindervag, analis utama di Forrester, pada tahun 2010, Zero Trust dikembangkan untuk mengatasi masalah yang timbul saat bisnis beralih ke cloud, seperti peningkatan individu yang tidak terverifikasi yang memiliki izin untuk menggunakan akun online, sehingga meningkatkan risiko pelanggaran data.

Dalam model Zero Trust, semua pengidentifikasi menjalani pengujian yang ketat, dengan menyadari bahwa risiko mungkin sudah ada dalam jaringan. Tidak ada entitas, baik individu atau perangkat, yang dapat dipercaya secara inheren. Otentikasi, Otorisasi, dan Verifikasi Berkelanjutan (AAV) diminta sebelum akses ke sumber daya diberikan. Model ini memungkinkan identifikasi cepat terhadap perilaku mencurigakan dan respons cepat terhadap potensi ancaman, sehingga mengurangi dampak serangan siber.

Bagaimana Nol Kepercayaan Bekerja

Zero Trust berasumsi bahwa kerentanan tidak hanya bersifat eksternal tetapi mungkin juga berada di dalam, menyamar sebagai entitas yang tampaknya tidak berbahaya. Dalam skenario Zero Trust, kepercayaan harus terus dibangun kembali melalui semua interaksi dan permintaan akses. Melalui AAV, setiap entitas harus diperiksa dengan cermat di setiap titik masuk, terlepas dari apa yang dianggap dapat dipercaya.

• Otentikasi menggunakan Otentikasi Multi-Faktor (MFA) dan penyimpanan kredensial untuk memverifikasi identitas.
• Otorisasi menentukan tingkat akses berdasarkan uraian tugas dan akses data yang diperlukan.
• Verifikasi terus memantau perilaku untuk memastikan kepatuhan terhadap otorisasi dan protokol keamanan.

Bagaimana Hak Istimewa Paling Sedikit Bekerja

Prinsip Hak Istimewa Terkecil, atau POLP, adalah prinsip keamanan yang berbeda namun sama pentingnya, yang menganjurkan agar entitas diberikan izin atau otorisasi pada tingkat minimum yang diperlukan untuk menjalankan fungsinya. Ini menggunakan strategi “perlu diketahui” dan “perlu digunakan”, membatasi akses yang tidak perlu untuk meminimalkan potensi serangan.

Bayangkan ekosistem digital perusahaan Anda sebagai jaringan titik masuk, yang masing-masing mengarah ke area berbeda yang berisi aset berharga dan data rahasia. POLP memastikan bahwa setiap pengguna, aplikasi, dan sistem memiliki serangkaian kunci, yang memungkinkan akses hanya ke area yang diperlukan dan mencabutnya setelah tujuannya terpenuhi.

Dengan tetap berpegang pada aturan yang paling tidak memiliki hak istimewa, suatu perusahaan meminimalkan permukaan serangannya, dan ini adalah keseluruhan titik masuk yang mungkin bagi pelaku kejahatan, yang dipetakan secara sistematis. Pengurangan ini berhasil dicapai dengan:

• Membatasi akses ke entitas yang tidak membutuhkannya
• Mengurangi titik masuk dimana penyusup dapat membobol sistem.
• Membatasi besarnya dampak potensial saat masuk

Apa Perbedaan Antara Zero Trust dan Least Privilege?

ZTNA dan POLP berbeda satu sama lain dalam empat hal:

1. Zero trust bersifat holistik, sedangkan hak istimewa paling sedikit berfokus pada hak dan persetujuan

Perbedaan pertama antara nol kepercayaan vs hak istimewa terendah adalah dalam hal cakupan cakupannya. Zero trust memberikan jaring yang sangat luas pada setiap aspek arsitektur jaringan, mempertanyakan konsep tradisional keamanan yang dipimpin oleh perimeter. Hal ini menyiratkan bahwa tidak ada entitas, baik di dalam maupun di luar, yang secara inheren dapat dipercaya, meskipun entitas tersebut tidak berusaha secara aktif memburu sumber daya sensitif.

Sebaliknya, hak istimewa paling rendah berfokus terutama pada pengaturan hak dan izin pengguna atau aplikasi tertentu. Jangkauannya lebih sempit dan didasarkan pada premis bahwa entitas hanya berhak atas akses minimum yang diperlukan untuk melaksanakan tugas yang diberikan kepada mereka.

2. Hak istimewa yang paling kecil diterapkan pada tingkat yang terperinci, sedangkan kepercayaan nol lebih bersifat strategis

Hak istimewa terkecil secara alami lebih terperinci karena membatasi akses per entitas atau aktivitas. Hal ini menyiratkan mekanisme kontrol yang tepat yang menjamin pengguna atau aplikasi hanya memiliki izin yang diperlukan untuk menjalankan tugasnya.

Meskipun pendekatan zero trust bersifat terperinci, pendekatan ini biasanya diterapkan pada skala yang lebih besar, dengan fokus pada segmen jaringan, peralatan, atau kategorisasi identitas tertentu. Anda akan sering memilih alat manajemen infrastruktur TI berdasarkan filosofi zero-trust, dan ini adalah pola pikir strategis yang diterapkan pada tingkat desain.

3. Hak istimewa paling kecil lebih mudah diterapkan daripada nol kepercayaan

Perbedaan ketiga antara nol kepercayaan vs hak istimewa paling rendah adalah ketika hak istimewa paling rendah biasanya diterapkan melalui sistem kontrol yang membatasi, administrasi pengguna, dan alokasi otorisasi. Secara umum, implementasi dalam arsitektur jaringan yang sudah ada lebih mudah. Di sisi lain, penerapan zero trust sering kali memerlukan perubahan signifikan pada arsitektur jaringan, seperti segmentasi jaringan. Hal ini memerlukan penilaian ulang yang mendalam terhadap kerangka keamanan secara keseluruhan.

4. Zero trust bersifat proaktif sementara hak istimewa paling sedikit bereaksi terhadap permintaan akses

Dengan menggunakan pendekatan kebutuhan untuk mengetahui dan kebutuhan untuk menggunakan, hak istimewa yang paling rendah membatasi akses terhadap aset berdasarkan kebutuhan. Hal ini difokuskan pada penetapan dan penerapan izin akses terlebih dahulu, dibandingkan pendekatan verifikasi yang sedang dilakukan zero trust. Zero trust menawarkan strategi proaktif dengan terus mengonfirmasi keaslian, keakuratan, dan validitas entitas dan aktivitasnya.

Singkatnya: Nol Kepercayaan vs Hak Istimewa Terkecil

Zero Trust dan Prinsip Least Privilege merupakan komponen penting dari kerangka keamanan siber yang solid, yang menekankan pentingnya membangun kontrol akses yang andal berdasarkan identitas dan konteks pengguna. Meskipun POLP dapat diterapkan secara mandiri, POLP akan paling efektif bila diterapkan dalam lingkungan Zero Trust, yang terus memantau perilaku pengguna dan memverifikasi identitas dan aktivitas entitas.

Di era digital yang kompleks, taktik pertahanan benteng dan parit tradisional sudah tidak dapat diterapkan lagi. Peretas yang terampil dapat menerapkan skema serangan terdistribusi terhadap organisasi, sehingga memerlukan strategi keamanan siber yang terdistribusi secara merata. Memanfaatkan setiap perlindungan yang ada, termasuk Zero Trust dan Least Privilege, untuk mengamankan sebanyak mungkin titik akses sangatlah penting.