Di banyak organisasi, akses karyawan yang sudah keluar tidak langsung dicabut. Bukan karena ada niat jahat dari tim IT, tapi karena proses offboarding tidak berjalan otomatis. Akun lama tetap aktif, tidak ada yang memantau, dan tidak ada yang meng-klaim kepemilikannya.
Ini yang disebut orphaned account, dan skalanya lebih besar dari yang kebanyakan orang perkirakan. Riset Orchid Security (2025) mencatat bahwa 44% organisasi melaporkan lebih dari 1.000 orphaned account aktif.
Di sektor kesehatan, angka itu mencapai 79%. Data dari Varonis menambahkan bahwa 62% pelanggaran yang tidak melibatkan kesalahan manusia atau aksi fisik melibatkan kredensial yang dicuri, brute force, atau phishing.
Di sinil dua pendekatan mulai diperbincangkan serius: Identity Fabric dan Zero Trust. Keduanya memang sering muncul bersamaan, tapi cara kerjanya cukup berbeda dan masing-masing punya peran yang tidak bisa saling menggantikan begitu saja.
Apa Itu Identity Fabric?
Identity Fabric adalah arsitektur pengelolaan identitas yang menyatukan berbagai layanan, sistem, dan aplikasi ke dalam satu lapisan identitas terpadu.
Intinya: satu titik kendali untuk mengelola siapa yang punya akses ke apa, di seluruh ekosistem digital organisasi.
Gartner mendefinisikan Identity Fabric sebagai pendekatan yang menggabungkan kemampuan identity and access management (IAM), privileged access management (PAM), dan identity governance ke dalam satu infrastruktur yang kohesif.
Bukan sekadar integrasi teknis, tapi penyatuan kebijakan, proses, dan visibilitas.
Tanpa arsitektur ini, tim IT mengelola identitas secara terpisah di setiap sistem. Hasilnya: ada pengguna yang punya akses berlebih di satu platform tapi terlalu terbatas di platform lain. Audit jadi hampir mustahil dilakukan secara menyeluruh, karena tidak ada satu pun titik yang bisa memberi gambaran lengkap tentang siapa punya akses ke apa.
Komponen Utama Identity Fabric
Identity Fabric bukan satu produk tunggal. Ada beberapa lapisan yang membangun arsitektur ini, dan masing-masing menangani aspek yang berbeda dari pengelolaan identitas.
Authentication dan Single Sign-On (SSO)
SSO memungkinkan pengguna masuk ke semua sistem yang terhubung hanya dengan satu set kredensial. Seorang manajer keuangan, misalnya, bisa mengakses sistem ERP, platform laporan cloud, dan tool komunikasi internal hanya dengan satu kali login, tanpa password yang berbeda di setiap aplikasi.
Ini bukan sekadar soal kenyamanan. Semakin banyak password yang harus diingat, semakin besar kemungkinan karyawan menggunakan password yang lemah atau mendaur ulang password yang sama di berbagai platform. SSO memotong risiko itu langsung dari akarnya.
Manajemen Siklus Hidup Identitas
Identity Fabric mengelola user identity lifecycle dari awal sampai akhir: mulai dari onboarding karyawan baru, perubahan peran, hingga pencabutan akses saat karyawan keluar.
Proses ini berjalan otomatis berdasarkan kebijakan yang sudah ditetapkan, sehingga tidak ada akses yang “terlupakan” ketika seseorang berpindah posisi atau meninggalkan perusahaan.
Bayangkan skenario di mana seorang karyawan dipromosikan dari staf operasional ke manajer. Tanpa manajemen siklus hidup yang baik, akses lama bisa tetap aktif bersamaan dengan akses baru yang diberikan. Ini yang disebut privilege creep, dan Identity Fabric menyelesaikannya secara otomatis.
Federasi Identitas
Federasi identitas memungkinkan identitas dari satu domain digunakan di domain lain tanpa perlu membuat akun baru.
Perusahaan yang bermitra dengan vendor eksternal bisa memberikan akses terbatas ke sistem internal langsung lewat identitas yang sudah dimiliki mitra tersebut di organisasinya sendiri.
Tim IT tidak perlu membuat dan mengelola ratusan akun tamu secara manual, dan akses bisa dicabut seketika begitu kerja sama berakhir.
Analitik Perilaku Identitas
Identity Fabric menggunakan data perilaku pengguna untuk mendeteksi anomali secara real-time.
Jika seseorang tiba-tiba mengakses file dengan volume jauh lebih tinggi dari biasanya, atau login dari lokasi yang tidak dikenal di jam yang tidak biasa, sistem akan menandainya sebagai aktivitas mencurigakan.
Responsnya bisa bervariasi tergantung tingkat risiko yang terdeteksi: mulai dari meminta verifikasi tambahan, membatasi akses sementara, hingga memblokir sesi secara otomatis sambil mengirim notifikasi ke tim keamanan.
Apa Itu Zero Trust?
Zero Trust adalah model keamanan yang berdiri di atas satu prinsip: jangan percaya siapa pun secara default, verifikasi setiap akses setiap saat.
NIST mendefinisikannya sebagai “seperangkat paradigma keamanan siber yang memindahkan pertahanan dari perimeter jaringan statis berbasis lokasi ke fokus pada pengguna, aset, dan sumber daya.” Artinya, Zero Trust bukan tentang di mana seseorang terhubung, tapi tentang siapa mereka, dengan konteks apa, dan apakah mereka berhak mendapat akses saat itu.
Pendekatan ini lahir dari kenyataan bahwa perimeter jaringan tradisional sudah tidak relevan. Karyawan bekerja dari rumah, mengakses data lewat perangkat pribadi, dan terhubung ke layanan cloud dari berbagai lokasi. Asumsi “di dalam jaringan berarti aman” sudah tidak bisa dipegang.
Pilar Utama Zero Trust
Zero Trust bukan produk yang bisa langsung dipasang, melainkan kerangka strategi. Ada tiga prinsip kerja yang menjadi pondasinya.
Verifikasi Eksplisit di Setiap Akses
Setiap permintaan akses, dari pengguna, perangkat, maupun aplikasi, harus diverifikasi lebih dulu. Seorang developer yang sudah login ke sistem pagi hari tetap harus melewati verifikasi ulang jika mengakses repositori kode yang dikategorikan sebagai data sensitif.
Verifikasi ini tidak hanya mempertimbangkan siapa yang meminta akses, tapi juga dari mana permintaan itu berasal, perangkat apa yang digunakan, apakah perangkat tersebut memenuhi standar keamanan yang ditetapkan, dan apakah pola aksesnya terlihat normal. Semua faktor itu dievaluasi secara bersamaan sebelum akses diberikan.
Prinsip Least Privilege
Setiap pengguna hanya mendapat akses minimum yang benar-benar diperlukan untuk tugasnya. Ini yang disebut prinsip least privilege.
Staf HR yang hanya perlu membaca data karyawan di satu departemen aksesnya dibatasi sampai di situ saja. Hak akses berlebih adalah salah satu penyebab terbesar kerusakan dari ancaman internal (insider threat).
Prinsip ini juga berlaku untuk akun sistem dan aplikasi, bukan hanya pengguna manusia. Sebuah aplikasi yang hanya perlu membaca data dari satu database tidak seharusnya punya izin menulis atau menghapus. Semakin sempit cakupan hak akses, semakin kecil area yang bisa dieksploitasi jika terjadi kompromi.
Asumsi Bahwa Pelanggaran Selalu Mungkin Terjadi
Zero Trust tidak dirancang untuk mencegah serangan 100%, karena tidak ada sistem yang benar-benar kebal.
Pendekatan ini membangun pertahanan berlapis dengan asumsi bahwa pelanggaran bisa terjadi kapan saja, dan strategi utamanya adalah membatasi dampaknya.
Dengan memisahkan akses ke setiap segmen jaringan, satu titik kompromi tidak otomatis membuka jalan ke seluruh infrastruktur. Analoginya seperti kapal yang dibagi menjadi beberapa kompartemen kedap air: jika satu bagian bocor, bagian lain tetap aman dan kapal tidak langsung tenggelam.
Identity Fabric vs Zero Trust: Apa Bedanya?
Keduanya bersinggungan di area manajemen identitas dan kontrol akses, tapi cara kerja dan cakupannya berbeda secara mendasar.
Identity Fabric bertanya “siapa yang punya akses ke apa, dan bagaimana akses itu dikelola?”, sementara Zero Trust bertanya “apakah permintaan akses ini boleh diizinkan, dari konteks ini, saat ini?”
| Aspek | Identity Fabric | Zero Trust |
| Fokus Utama | Manajemen identitas terpadu lintas sistem | Verifikasi dan kontrol akses di seluruh infrastruktur |
| Cakupan | Lapisan identitas (aplikasi dan data pengguna) | Seluruh infrastruktur jaringan, perangkat, dan aplikasi |
| Cara Kerja | Menyatukan identitas dari berbagai sumber ke satu platform | Memverifikasi setiap permintaan akses secara eksplisit |
| Provisioning | Mengotomatiskan provisioning lifecycle: pemberian, perubahan, dan pencabutan akses berdasarkan aturan yang sudah ditetapkan | Menggunakan data provisioning sebagai sumber untuk kebijakan akses dinamis; keputusan akses dibuat per-request berdasarkan konteks saat itu |
| Enkripsi | End-to-end untuk semua data di platform | Tidak mengatur enkripsi secara spesifik; fokus pada verifikasi dan kontrol akses, bukan proteksi data in-transit |
| Implementasi | Diterapkan di lapisan aplikasi dan identitas | Diterapkan di seluruh lapisan infrastruktur |
| Cocok Untuk | Organisasi dengan banyak sistem dan identitas tersebar | Organisasi yang ingin kontrol akses menyeluruh dan granular |
Dari tabel di atas, satu pola yang terlihat jelas adalah perbedaan cakupan. Identity Fabric beroperasi di lapisan identitas, mengelola siapa penggunanya, apa perannya, dan ke mana akses mereka diarahkan. Zero Trust bergerak lebih luas, mencakup seluruh infrastruktur termasuk jaringan, perangkat, dan aplikasi, dengan satu tugas utama: tidak ada yang dipercaya begitu saja.
Perbedaan di aspek provisioning juga layak diperhatikan. Identity Fabric mengotomasi proses pemberian dan pencabutan akses berdasarkan aturan yang sudah ditetapkan, sehingga tim IT tidak perlu turun tangan setiap kali ada perubahan peran atau penambahan pengguna.
Zero Trust justru menggunakan output provisioning itu sebagai bahan baku untuk membuat keputusan akses yang dinamis per-request. Keduanya saling mengisi, bukan saling menggantikan.
Kapan Menggunakan Identity Fabric, Kapan Menggunakan Zero Trust?
Keduanya bisa berjalan beriringan, tapi ada kondisi di mana salah satu lebih relevan dijadikan prioritas.
Gunakan Identity Fabric Jika:
Organisasi mengelola banyak identitas dari berbagai sumber
Jika perusahaan memiliki karyawan tetap, kontraktor, mitra bisnis, dan pelanggan yang semuanya perlu mengakses sistem berbeda, Identity Fabric memberikan satu lapisan yang memudahkan manajemen.
Masalah nyatanya bukan hanya soal kerumitan teknis. Ketika identitas dikelola secara terpisah di setiap sistem, audit akses menjadi hampir mustahil dilakukan secara menyeluruh. Satu identitas yang tidak sengaja diberi hak akses berlebih di satu platform bisa jadi pintu masuk yang tidak pernah terdeteksi selama berbulan-bulan.
Onboarding dan offboarding karyawan berlangsung cepat
Perusahaan dengan perputaran staf yang tinggi sangat terbantu oleh kemampuan provisioning otomatis Identity Fabric. Karyawan baru bisa langsung mendapatkan akses ke semua sistem yang relevan di hari pertama kerjanya, tanpa menunggu tim IT membuat akun satu per satu.
Yang sama pentingnya adalah sisi offboarding. Ketika karyawan resign atau kontrak berakhir, Identity Fabric mencabut seluruh akses secara terpusat dalam satu langkah. Tanpa sistem seperti ini, tim IT harus menutup akun satu per satu di setiap platform secara manual, dan satu yang terlewat sudah cukup untuk menjadi risiko keamanan yang serius.
Perusahaan mengoperasikan ekosistem multi-cloud atau hybrid
Ketika workload tersebar di AWS, Azure, Google Cloud, dan sistem on-premise sekaligus, mengelola identitas secara terpisah di setiap platform adalah pekerjaan yang tidak akan pernah selesai. Identity Fabric menyatukan semuanya dalam satu titik kendali, sehingga perubahan kebijakan akses cukup dilakukan di satu tempat dan langsung berlaku di seluruh platform secara konsisten.
Gunakan Zero Trust Jika:
Organisasi menyimpan data sensitif dengan risiko tinggi
Sektor keuangan, kesehatan, dan pemerintahan adalah contoh lingkungan di mana setiap akses harus diverifikasi ketat. Zero Trust memastikan hanya pengguna yang tepat, dari perangkat yang tepat, yang bisa mengakses data yang tepat, dan setiap keputusan akses itu selalu didasarkan pada konteks terkini, bukan kepercayaan yang sudah diberikan sebelumnya.
Ini relevan bahkan untuk ancaman dari dalam organisasi sendiri. Karyawan yang sah pun tidak seharusnya punya akses bebas ke seluruh data sensitif hanya karena mereka sudah melewati proses autentikasi awal.
Tim bekerja secara remote atau hybrid secara permanen
Ketika karyawan tersebar di berbagai lokasi dan perangkat, lokasi atau koneksi jaringan bukan lagi faktor yang bisa menentukan kepercayaan. Zero Trust memindahkan titik verifikasi dari “di mana kamu terhubung” ke “siapa kamu, dengan perangkat apa, dan apakah konteks aksesmu wajar saat ini.” Pendekatan ini jauh lebih relevan untuk pola kerja modern yang tidak lagi terikat satu lokasi fisik.
Perusahaan sudah mengalami insiden keamanan sebelumnya
Setelah terjadi kebocoran data atau serangan siber, pertanyaan yang paling sering muncul adalah: seberapa jauh penyerang bisa bergerak setelah masuk?
Dalam arsitektur keamanan tradisional, jawabannya sering kali: sangat jauh. Zero Trust memotong kemampuan lateral movement itu dengan segmentasi mikro yang ketat. Setiap pergerakan membutuhkan verifikasi baru, dan semakin sempit ruang geraknya, semakin besar peluang tim keamanan untuk mendeteksi dan menghentikan ancaman sebelum kerusakan meluas.
Apakah Identity Fabric dan Zero Trust Bisa Diterapkan Bersamaan?
Ya, dan memang begitu seharusnya. Identity Fabric menyediakan fondasi identitas yang kuat: siapa pengguna, apa peran mereka, dan sistem apa yang boleh mereka akses. Zero Trust kemudian menggunakan fondasi itu untuk membuat keputusan akses yang dinamis berdasarkan konteks saat permintaan terjadi.
Analoginya seperti ini: Identity Fabric adalah kartu identitas beserta daftar izin yang dimiliki seseorang. Zero Trust adalah petugas keamanan yang tetap memeriksa kartu tersebut setiap kali orang itu ingin masuk ke ruangan yang berbeda, meski wajahnya sudah dikenal. Keduanya perlu bekerja bersama agar sistem keamanan benar-benar kokoh.
Tantangan Implementasi yang Perlu Dipersiapkan
Menerapkan Identity Fabric maupun Zero Trust tidak semudah mengaktifkan fitur. Ada beberapa hambatan yang perlu diantisipasi sejak awal, dan organisasi yang meremehkan tahap ini biasanya menghadapi masalah bukan di tengah implementasi, tapi jauh setelahnya ketika sistem sudah berjalan setengah matang.
Kompleksitas Integrasi Sistem Lama (Legacy Systems)
Banyak organisasi masih mengandalkan sistem lama yang tidak dirancang untuk mendukung arsitektur identitas modern. Sistem seperti ini sering tidak memiliki dukungan protokol standar seperti SAML atau OAuth, sehingga integrasi ke dalam Identity Fabric atau kerangka Zero Trust membutuhkan lapisan tambahan yang tidak murah dan tidak cepat.
Yang lebih rumit, proses migrasi tidak bisa dilakukan sekaligus. Sistem lama biasanya masih aktif digunakan selama transisi berlangsung, sehingga tim IT harus mengelola dua lingkungan sekaligus dalam periode yang bisa berlangsung berbulan-bulan. Tanpa peta jalan migrasi yang jelas sejak awal, proses ini mudah melebar dan tidak terkendali.
Perubahan Kebiasaan Pengguna
Zero Trust khususnya sering menghadapi resistensi dari pengguna yang sudah terbiasa dengan proses akses yang lebih longgar. Verifikasi tambahan yang berulang bisa terasa mengganggu produktivitas, terutama bagi tim yang bekerja dengan tempo tinggi.
Dalam banyak kasus, pengguna yang merasa terganggu cenderung mencari cara untuk “memotong” proses verifikasi, yang justru menciptakan celah keamanan baru. Karena itu, desain pengalaman pengguna (UX) harus jadi pertimbangan serius sejak tahap perencanaan, bukan sesuatu yang diperbaiki belakangan setelah keluhan mulai masuk.
Kebutuhan Keahlian Khusus
Implementasi kedua pendekatan ini memerlukan tim yang memahami arsitektur identitas, manajemen akses, dan keamanan jaringan secara mendalam. Tidak cukup hanya paham salah satunya, karena Identity Fabric dan Zero Trust menyentuh lapisan teknis yang berbeda dan harus diintegrasikan dengan cermat agar tidak menciptakan konflik kebijakan di tengah jalan.
Bagi banyak organisasi, membangun semua kapabilitas itu secara internal dari nol membutuhkan waktu yang jauh lebih lama dari yang diperkirakan. Bermitra dengan penyedia solusi yang sudah berpengalaman di domain ini biasanya menjadi pilihan yang lebih realistis, terutama jika kebutuhan bisnis tidak bisa menunggu kurva pembelajaran tim internal selesai.
Kesimpulan
Identity Fabric dan Zero Trust menjawab tantangan keamanan dari sudut yang berbeda. Identity Fabric membangun fondasi pengelolaan identitas yang terpadu, sementara Zero Trust memastikan setiap akses selalu diverifikasi berdasarkan konteks yang relevan.
Bagi organisasi yang beroperasi di lingkungan multi-sistem, multi-cloud, atau memiliki banyak pengguna dari berbagai kategori, menggabungkan keduanya memberikan lapisan keamanan yang jauh lebih kuat. Pilihan terbaik bukan tentang mana yang lebih unggul, tapi bagaimana keduanya bisa bekerja bersama sesuai konteks bisnis Anda.
Adaptist PRIME dari Accelist Adaptist Consulting siap membantu organisasi Anda merancang dan mengimplementasikan strategi keamanan identitas yang tepat, baik berbasis Identity Fabric, Zero Trust, maupun kombinasi keduanya. Tim kami mendampingi dari tahap perencanaan hingga operasional, dengan pendekatan yang disesuaikan dengan kebutuhan dan skala bisnis Anda.
Siap Mengelola Identitas Digital sebagai Strategi Keamanan Bisnis?
Request demo sekarang dan pelajari bagaimana solusi IAM membantu memusatkan proses login pengguna melalui Single Sign-On (SSO), mengotomatisasi onboarding karyawan, serta melindungi data perusahaan dari akses tidak sah tanpa mengganggu produktivitas akibat login berulang.
FAQ
Identity Fabric mengelola identitas, Zero Trust memverifikasi akses.
Ya, dan sering saling melengkapi.
Untuk membatasi akses tidak sah.
