Memuat...

1.6 Zero Trust Architecture

Arsitektur Zero Trust: Paradigma Keamanan Modern (CompTIA Security+ SY0-701)

Zero Trust Architecture

CompTIA Security+ SY0-701 - Domain 1.2

Arsitektur Zero Trust: Paradigma Keamanan Modern

Definisi Zero Trust

Zero Trust adalah model keamanan yang menghilangkan konsep "trusted network" (jaringan yang dipercaya). Tidak ada yang dipercaya secara default, bahkan traffic dari dalam jaringan kantor sendiri.

Prinsip: "Never Trust, Always Verify"

Setiap akses ke sumber daya harus diotentikasi dan diotorisasi ulang, tidak peduli apakah permintaan berasal dari:

  • ❌ Komputer di dalam kantor
  • ❌ VLAN khusus IT department
  • ❌ Server yang sudah terdaftar di Active Directory

Semua dianggap tidak terpercaya sampai terbukti sebaliknya.

⚠️ Masalah Model Keamanan Tradisional (Perimeter-Based)

Dulu, organisasi mengandalkan firewall perimeter sebagai pertahanan utama. Asumsinya: "Di luar firewall = berbahaya, di dalam firewall = aman". Masalahnya: Begitu penyerang berhasil menembus (phishing, VPN yang dikompromikan), mereka bebas bergerak lateral di seluruh jaringan internal karena semuanya "dipercaya".

Komponen Teknis: Data Plane vs Control Plane

Jaringan komputer terdiri dari dua layer utama yang bekerja bersama. Zero Trust fokus pada penguatan Control Plane untuk mengatur traffic di Data Plane.

Data Plane

Jalur lalu lintas data aktual – tempat paket-paket data bergerak dari satu titik ke titik lain.

Contoh Fungsi:

  • Forwarding paket dari router ke router
  • Transfer file dari client ke server
  • Streaming video dari internet
Control Plane

Jalur manajemen dan kontrol – tempat kebijakan, routing table, dan aturan dibuat/diedit.

Contoh Fungsi:

  • Konfigurasi firewall rules
  • Membuat access control list (ACL)
  • Update routing protocols (OSPF, BGP)
🎯 Zero Trust Focus

Zero Trust menguatkan Control Plane dengan memastikan setiap kebijakan akses dievaluasi secara real-time. Tidak ada "set and forget" – traffic di Data Plane terus dimonitor dan dikontrol berdasarkan policy dinamis.

Adaptive Identity (Identitas Adaptif)

Apa itu Adaptive Identity?

Adaptive Identity adalah otentikasi dinamis yang menyesuaikan tingkat verifikasi berdasarkan konteks akses, seperti lokasi geografis, waktu akses, perangkat, dan perilaku user.

Skenario Contoh Kasus

Akses Normal (Low Risk)

Alice login dari kantor (IP 192.168.1.50) pada jam kerja (09:00 WIB), menggunakan laptop perusahaan yang terdaftar.

Keputusan Sistem: Izinkan akses dengan otentikasi standar (username + password).
⚠️
Akses Anomali (Medium Risk)

Alice login dari rumah (IP baru 180.245.x.x) pada jam malam (23:00 WIB), menggunakan perangkat pribadi yang belum pernah terdaftar.

Keputusan Sistem: Minta verifikasi tambahan (MFA via SMS/App) sebelum memberikan akses.
Akses Sangat Mencurigakan (High Risk)

Alice login dari China (IP 123.58.x.x) padahal perusahaan berbasis di AS, dan Alice tidak sedang traveling. Akses terjadi 5 menit setelah login terakhir dari kantor.

Keputusan Sistem: Blokir akses sementara + kirim notifikasi security alert.
📊 Faktor Konteks yang Dianalisis

📍 Lokasi

IP, GPS, Negara

⏰ Waktu

Jam kerja/tidak, zona waktu

💻 Perangkat

OS, Browser, Device ID

👤 Perilaku

Pola akses historis

Mekanisme Kerja Zero Trust (PEP & PDP)

Zero Trust menggunakan arsitektur Policy Enforcement Point (PEP) dan Policy Decision Point (PDP) untuk mengevaluasi setiap permintaan akses secara real-time.

🔄 Alur Keputusan Zero Trust

1
Subject (Pengguna/Sistem)

User atau aplikasi meminta akses ke resource (file server, database, aplikasi cloud).

2
Policy Enforcement Point (PEP)

Gerbang (Gatekeeper) yang mencegat permintaan akses. PEP tidak membuat keputusan sendiri, tapi bertanya kepada PDP.

3
Policy Decision Point (PDP)

Otak pembuat keputusan yang menganalisis request berdasarkan policy yang telah ditentukan.

Policy Engine

Logika keputusan (Allow/Deny)

Policy Administrator

Mengelola session/token

4
PEP Menerima Keputusan

PEP menerima instruksi dari PDP: ALLOW (buka gerbang) atau DENY (blokir akses).

5
Resource (Sumber Daya)

Jika diizinkan, Subject dapat mengakses resource yang diminta. Setiap akses selanjutnya akan melewati proses yang sama.

🔑 Keuntungan Model Ini
  • Micro-segmentation: Setiap resource dilindungi secara individual
  • Least Privilege: Akses minimum yang diperlukan untuk menyelesaikan tugas
  • Continuous Verification: Otentikasi tidak hanya di awal, tapi berkelanjutan
  • Lateral Movement Prevention: Penyerang tidak bisa bebas bergerak meski sudah masuk

Flashcard Review: Zero Trust Architecture

Kartu 1 dari 8
Soal / Istilah

Apa prinsip dasar Zero Trust?

(Klik untuk melihat jawaban)

Jawaban / Definisi

Never Trust, Always Verify (Jangan pernah percaya, selalu verifikasi).

Tips: Ucapkan jawaban dengan lantang sebelum membalik kartu.

Keyboard: ← Sebelumnya | → Selanjutnya | Space/Enter Balik