Zero Trust Security: Mengapa Tidak Ada Lagi Pengguna yang Langsung Dipercaya?

Diposting pada : 2026-07-09 | Tags :

  Zero Trust Security untuk melindungi data dan sistem

Perubahan cara perusahaan mengelola teknologi telah mengubah lanskap keamanan siber secara signifikan. Jika sebelumnya sebagian besar aplikasi, data, dan pengguna berada di dalam jaringan internal perusahaan, kini lingkungan kerja menjadi jauh lebih dinamis.

Karyawan dapat mengakses sistem dari berbagai lokasi, menggunakan perangkat pribadi, memanfaatkan layanan cloud computing, hingga berkolaborasi melalui aplikasi berbasis internet. Di sisi lain, pemanfaatan Artificial Intelligence (AI) dan Internet of Things (IoT) juga semakin memperluas permukaan serangan (attack surface) yang harus diamankan.

Perubahan tersebut membuat pendekatan keamanan tradisional yang hanya mengandalkan perlindungan di perimeter jaringan (perimeter security) tidak lagi memadai. Ketika identitas pengguna atau perangkat berhasil dikompromikan, pelaku dapat bergerak lebih leluasa di dalam jaringan dan mengakses berbagai sumber daya penting.

Untuk menjawab tantangan tersebut, banyak perusahaan mulai menerapkan Zero Trust Security, yaitu model keamanan yang mengharuskan setiap pengguna, perangkat, aplikasi, maupun sistem melalui proses verifikasi sebelum memperoleh akses.

Menurut National Institute of Standards and Technology (NIST) dalam Special Publication 800-207, Zero Trust Architecture, tidak ada pengguna atau perangkat yang secara otomatis dapat dipercaya, meskipun berada di dalam jaringan internal perusahaan.

Di Indonesia, penerapan model keamanan yang lebih adaptif juga semakin relevan seiring meningkatnya transformasi digital di berbagai sektor. Badan Siber dan Sandi Negara (BSSN) terus mendorong penguatan tata kelola keamanan siber agar perusahaan mampu menghadapi ancaman yang semakin kompleks, termasuk melalui pengelolaan identitas, pengendalian akses, dan pemantauan keamanan secara berkelanjutan.

Lantas, apa sebenarnya yang dimaksud dengan Zero Trust Security, dan mengapa pendekatan ini mulai menjadi standar baru dalam melindungi sistem digital?

Baca Juga: Apa Itu Cyber Security Telkom? Sistem Keamanan Digital Terintegrasi

Apa Itu Zero Trust Security?

Zero Trust Security adalah model keamanan siber yang menerapkan prinsip "never trust, always verify", yaitu tidak ada pengguna, perangkat, maupun aplikasi yang langsung dipercaya sebelum melalui proses verifikasi.

Berbeda dengan model keamanan tradisional yang menganggap pengguna di dalam jaringan sebagai pihak yang aman, Zero Trust mengasumsikan bahwa setiap permintaan akses berpotensi menimbulkan risiko. Oleh karena itu, sistem akan memverifikasi identitas pengguna, kondisi perangkat, lokasi akses, serta hak akses yang dimiliki sebelum memberikan izin.

Pendekatan ini juga menerapkan proses verifikasi secara berkelanjutan. Artinya, pemeriksaan tidak berhenti ketika pengguna berhasil login, tetapi terus dilakukan selama sesi akses berlangsung untuk mendeteksi aktivitas yang tidak wajar.

Menurut National Institute of Standards and Technology (NIST), lembaga pemerintah Amerika Serikat yang mengembangkan standar dan pedoman teknologi, Zero Trust merupakan pendekatan keamanan yang berfokus pada perlindungan sumber daya (resource-centric security), bukan sekadar perlindungan jaringan.

Dengan demikian, setiap akses terhadap data, aplikasi, maupun layanan harus melalui proses autentikasi, otorisasi, dan verifikasi berkelanjutan sesuai dengan kebijakan keamanan perusahaan. 

Mengapa Model Keamanan Tradisional Tidak Lagi Cukup?

Perimeter Jaringan Tidak Lagi Menjadi Batas Keamanan

Selama bertahun-tahun, banyak bisnis mengandalkan model keamanan berbasis perimeter. Pendekatan ini bekerja dengan melindungi jaringan internal menggunakan firewall, Virtual Private Network (VPN), dan berbagai perangkat keamanan lainnya. Setelah pengguna berhasil masuk ke jaringan internal, mereka umumnya memperoleh akses yang lebih luas terhadap berbagai sistem perusahaan.

Namun, pola kerja modern telah mengubah kondisi tersebut. Karyawan kini bekerja secara hybrid, menggunakan berbagai perangkat, serta mengakses aplikasi berbasis cloud dari berbagai lokasi. Akibatnya, batas antara jaringan internal dan eksternal menjadi semakin kabur.

Menurut Cybersecurity and Infrastructure Security Agency (CISA), perubahan lingkungan kerja tersebut membuat identitas pengguna menjadi salah satu target utama serangan siber. Pelaku tidak lagi selalu berusaha menembus firewall, tetapi memanfaatkan akun yang berhasil dicuri melalui phishing, malware, atau kebocoran kredensial.

Ancaman Siber Semakin Berfokus pada Identitas

Saat ini, sebagian besar serangan siber memanfaatkan penyalahgunaan identitas digital. Akun yang telah berhasil dikompromikan sering kali digunakan untuk mengakses data sensitif tanpa menimbulkan kecurigaan karena aktivitas tersebut tampak berasal dari pengguna yang sah.

Melalui Zero Trust Security, setiap permintaan akses akan dievaluasi berdasarkan berbagai faktor, seperti identitas pengguna, perangkat yang digunakan, lokasi akses, waktu login, hingga tingkat risiko aktivitas tersebut. Jika ditemukan perilaku yang tidak sesuai dengan pola normal, sistem dapat meminta autentikasi tambahan, membatasi hak akses, bahkan menghentikan sesi pengguna secara otomatis.

Pendekatan ini membantu mengurangi risiko penyalahgunaan akun sekaligus membatasi pergerakan pelaku apabila berhasil memperoleh kredensial pengguna.

Prinsip Utama Zero Trust Security

Agar dapat diterapkan secara efektif, Zero Trust Security dibangun di atas beberapa prinsip utama yang saling melengkapi.

Verifikasi Identitas secara Berkelanjutan

Setiap pengguna wajib membuktikan identitasnya sebelum memperoleh akses ke sistem. Proses ini umumnya dilakukan melalui kombinasi username, autentikasi multifaktor (Multi-Factor Authentication/MFA), sertifikat digital, biometrik, maupun metode autentikasi modern seperti passkey.

Verifikasi tidak berhenti setelah login berhasil. Sistem akan terus mengevaluasi aktivitas pengguna selama sesi berlangsung untuk memastikan akses tetap sesuai dengan kebijakan keamanan.

Menerapkan Prinsip Least Privilege

Zero Trust menerapkan prinsip least privilege, yaitu setiap pengguna hanya memperoleh hak akses sesuai kebutuhan pekerjaannya. Sebagai contoh, staf keuangan hanya diberikan akses ke aplikasi yang berkaitan dengan tugasnya, tanpa memperoleh izin terhadap sistem lain yang tidak diperlukan. Dengan membatasi hak akses, perusahaan dapat mengurangi dampak apabila akun pengguna berhasil diambil alih oleh pihak yang tidak berwenang.

Memastikan Perangkat Memenuhi Standar Keamanan

Keamanan tidak hanya bergantung pada identitas pengguna, tetapi juga kondisi perangkat yang digunakan. Sebelum memberikan akses, sistem dapat memeriksa apakah perangkat telah menggunakan sistem operasi terbaru, memiliki perangkat lunak antivirus yang aktif, serta memenuhi kebijakan keamanan perusahaan. Jika perangkat dianggap berisiko, akses dapat dibatasi hingga persyaratan keamanan terpenuhi.

Melakukan Pemantauan Secara Berkesinambungan

Zero Trust mengandalkan pemantauan aktivitas secara terus-menerus untuk mendeteksi anomali yang berpotensi menjadi indikasi serangan siber. Aktivitas seperti login dari lokasi yang tidak biasa, perpindahan perangkat secara tiba-tiba, atau upaya mengakses data dalam jumlah besar dapat memicu sistem untuk melakukan verifikasi ulang atau menghentikan akses secara otomatis.

Pendekatan ini membantu perusahaan mendeteksi ancaman lebih cepat sekaligus membatasi penyebaran serangan sebelum menimbulkan dampak yang lebih besar.

Baca Juga: Tips Memilih Layanan Cyber Security yang Tepat untuk Korporasi

Manfaat Zero Trust Security bagi Perusahaan

Penerapan Zero Trust Security tidak hanya membantu meningkatkan keamanan sistem informasi, tetapi juga memberikan nilai strategis bagi perusahaan dalam menghadapi transformasi digital. Ketika identitas pengguna, perangkat, dan aplikasi terus diverifikasi, bisnis memiliki kontrol yang lebih baik terhadap akses ke data dan sumber daya penting.

Mengurangi Risiko Akses Tidak Sah

Salah satu manfaat utama Zero Trust Security adalah mengurangi risiko penyalahgunaan akun akibat pencurian kredensial. Menurut Cybersecurity and Infrastructure Security Agency (CISA), identitas digital menjadi salah satu target utama serangan siber modern karena akun yang berhasil dikompromikan sering digunakan untuk mengakses sistem tanpa memanfaatkan celah teknis.

Melalui mekanisme verifikasi berlapis, seperti Multi-Factor Authentication (MFA), pemeriksaan kondisi perangkat, hingga analisis perilaku pengguna, perusahaan dapat mendeteksi aktivitas yang mencurigakan sebelum menimbulkan dampak yang lebih besar.

Membatasi Pergerakan Ancaman di Dalam Jaringan

Zero Trust Security juga menerapkan prinsip micro-segmentation, yaitu membatasi akses pengguna hanya pada aplikasi atau data yang benar-benar dibutuhkan. Pendekatan ini membantu mencegah lateral movement, yaitu kondisi ketika pelaku yang berhasil masuk ke dalam jaringan berpindah dari satu sistem ke sistem lain untuk mencari data atau hak akses yang lebih tinggi. Dengan pembatasan akses yang ketat, ruang gerak pelaku menjadi lebih terbatas sehingga risiko penyebaran serangan dapat diminimalkan.

Mendukung Lingkungan Kerja Hybrid dan Cloud

Model kerja hybrid telah membuat karyawan mengakses sistem perusahaan dari berbagai lokasi menggunakan berbagai perangkat. Selain itu, semakin banyak organisasi yang memanfaatkan layanan cloud computing untuk menjalankan aplikasi dan menyimpan data.

Zero Trust Security dirancang untuk menghadapi kondisi tersebut dengan memverifikasi setiap permintaan akses tanpa bergantung pada lokasi pengguna. Selama identitas, perangkat, dan tingkat risikonya memenuhi kebijakan keamanan, pengguna dapat mengakses layanan secara aman, baik dari kantor maupun dari lokasi lain.

Pendekatan ini memberikan fleksibilitas bagi organisasi sekaligus menjaga keamanan di tengah meningkatnya penggunaan layanan digital.

Mendukung Kepatuhan terhadap Regulasi

Penerapan Zero Trust juga membantu organisasi memenuhi berbagai persyaratan tata kelola keamanan informasi.

Di Indonesia, Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) mewajibkan pengendali data menerapkan langkah-langkah yang memadai untuk melindungi data pribadi. Sementara itu, standar internasional seperti ISO/IEC 27001 dan panduan NIST Zero Trust Architecture menempatkan pengelolaan identitas serta kontrol akses sebagai bagian penting dari keamanan informasi.

Dengan menerapkan Zero Trust, organisasi dapat memperkuat kepatuhan sekaligus meningkatkan kepercayaan pelanggan terhadap pengelolaan data yang dilakukan.

Tantangan dalam Menerapkan Zero Trust Security

Meskipun menawarkan banyak manfaat, penerapan Zero Trust Security memerlukan perubahan yang tidak hanya bersifat teknis, tetapi juga menyangkut proses bisnis dan budaya organisasi.

Integrasi dengan Infrastruktur yang Sudah Ada

Banyak organisasi masih menggunakan aplikasi atau sistem lama (legacy systems) yang belum mendukung autentikasi modern maupun kontrol akses berbasis identitas.

Oleh karena itu, implementasi Zero Trust umumnya dilakukan secara bertahap, dimulai dari identifikasi aset digital, pemetaan pengguna, hingga integrasi dengan sistem Identity and Access Management (IAM) agar proses transisi tidak mengganggu operasional bisnis.

Menyeimbangkan Keamanan dan Pengalaman Pengguna

Proses verifikasi tambahan berpotensi dianggap memperlambat aktivitas pengguna apabila tidak dirancang dengan baik. Karena itu, organisasi perlu menerapkan autentikasi yang bersifat adaptif (adaptive authentication), yaitu mekanisme yang menyesuaikan tingkat verifikasi berdasarkan tingkat risiko.

Sebagai contoh, login dari perangkat yang telah dikenal dapat melalui proses yang lebih sederhana dibandingkan akses dari perangkat atau lokasi yang belum pernah digunakan sebelumnya. Pendekatan tersebut membantu menjaga keseimbangan antara keamanan dan kenyamanan pengguna.

Membangun Budaya Keamanan Siber

Keberhasilan Zero Trust tidak hanya bergantung pada teknologi, tetapi juga pada kesiapan sumber daya manusia. Pelatihan keamanan siber secara berkala diperlukan agar karyawan memahami pentingnya autentikasi multifaktor, mengenali upaya phishing, serta mematuhi kebijakan keamanan organisasi. Menurut Badan Siber dan Sandi Negara (BSSN), peningkatan literasi keamanan digital menjadi salah satu langkah penting dalam memperkuat ketahanan siber di Indonesia.

Zero Trust Security sebagai Fondasi Keamanan Digital Modern

Seiring meningkatnya adopsi cloud computing, Artificial Intelligence (AI), Internet of Things (IoT), dan pola kerja hybrid, organisasi membutuhkan pendekatan keamanan yang mampu melindungi identitas, perangkat, aplikasi, dan data secara menyeluruh. Dalam konteks tersebut, Zero Trust Security tidak lagi dipandang sebagai sekadar teknologi, melainkan sebagai strategi keamanan yang menyesuaikan diri dengan dinamika lingkungan digital modern.

Dengan menerapkan prinsip "never trust, always verify", organisasi dapat mengurangi risiko akses tidak sah, membatasi penyebaran ancaman di dalam jaringan, serta meningkatkan kemampuan mendeteksi aktivitas mencurigakan sejak dini. Pendekatan ini juga mendukung kepatuhan terhadap regulasi perlindungan data sekaligus memperkuat kepercayaan pelanggan dan mitra bisnis.

Untuk membangun arsitektur Zero Trust yang efektif, organisasi memerlukan dukungan infrastruktur keamanan yang terintegrasi. Enterprise Solutions Telkom menghadirkan berbagai solusi Cybersecurity, mulai dari Identity and Access Management (IAM), Security Operation Center (SOC), Managed Security Services, hingga Cloud Security yang membantu perusahaan mengelola identitas digital, memantau ancaman secara real-time, serta melindungi aset digital secara menyeluruh.

Dengan ekosistem keamanan yang andal, organisasi dapat mempercepat transformasi digital sekaligus membangun fondasi keamanan yang lebih tangguh di era AI.

Baca Juga: Keunggulan Cyber Security Telkom bagi Bisnis