Bayangkan tim IT perusahaan Anda menemukan bahwa seorang karyawan yang sudah resign tiga bulan lalu masih bisa mengakses sistem internal tanpa hambatan. Tidak ada notifikasi, tidak ada alarm, dan tidak ada yang tahu.
Situasi seperti ini bukan cerita fiksi, karena menurut laporan IBM Cost of a Data Breach 2023, rata-rata waktu yang dibutuhkan perusahaan untuk mendeteksi sebuah pelanggaran keamanan adalah 204 hari.
Ancaman siber semakin canggih, sementara model keamanan jaringan konvensional berbasis perimeter sudah tidak cukup untuk menghadapinya.
Apa Itu Zero Trust?
Zero Trust adalah kerangka keamanan yang berangkat dari satu asumsi dasar: tidak ada pengguna, perangkat, atau sistem yang boleh dipercaya secara otomatis, bahkan jika mereka sudah berada di dalam jaringan internal perusahaan sekalipun.
Prinsip ini merespons kelemahan nyata dari model keamanan lama yang mengandalkan perimeter jaringan. Dulu, siapa pun yang sudah “masuk” ke dalam jaringan dianggap aman. Sekarang, dengan karyawan yang bekerja dari rumah, kafe, atau luar negeri, batas jaringan itu praktis sudah tidak ada.
Prinsip Utama Zero Trust
Zero Trust bukan satu fitur yang bisa diaktifkan lalu selesai. Ia dibangun di atas tiga prinsip yang saling menopang, dan ketiganya harus berjalan bersamaan agar kerangka ini benar-benar efektif.
Verifikasi Terus-Menerus (Never Trust, Always Verify)
Setiap permintaan akses, baik dari karyawan internal maupun pihak ketiga, harus divalidasi ulang setiap saat. Seorang manajer yang berhasil login pagi hari bukan berarti sesi aksesnya otomatis aman sepanjang hari, karena sistem akan terus memeriksa konteks dan kredensial secara berkala.
Konteks yang diperiksa bukan hanya kata sandi. Sistem Zero Trust mengevaluasi lokasi perangkat, kondisi keamanan endpoint, pola perilaku pengguna, hingga waktu akses.
Jika ada yang tidak sesuai, misalnya login dari negara berbeda dalam rentang waktu yang tidak masuk akal secara fisik, akses langsung diblokir atau diminta verifikasi ulang.
Ini berbeda jauh dari model perimeter lama. Di model lama, begitu seseorang berhasil masuk, mereka bebas bergerak ke mana saja. Zero Trust memperlakukan setiap sesi sebagai permintaan baru yang harus dibuktikan, bukan warisan kepercayaan dari sesi sebelumnya.
Akses dengan Hak Minimum (Least Privilege Access)
Setiap pengguna hanya diberikan akses ke sumber daya yang benar-benar dibutuhkan untuk pekerjaannya. Tidak lebih. Tim marketing tidak perlu dan tidak boleh bisa mengakses database keuangan perusahaan hanya karena keduanya berada dalam satu jaringan yang sama.
Prinsip ini terdengar sederhana, tapi implementasinya kerap diabaikan. Di banyak perusahaan, hak akses diberikan secara massal saat onboarding, lalu tidak pernah ditinjau ulang.
Akibatnya, karyawan yang sudah pindah divisi atau bahkan sudah resign masih memiliki akses ke sistem yang tidak seharusnya. Ini bukan celah teknis, ini celah proses.
Least privilege juga membatasi kerusakan saat sebuah akun berhasil dikompromikan. Jika akun seorang staf HRD dibobol, penyerang hanya bisa melihat data yang memang boleh diakses staf tersebut, bukan seluruh sistem perusahaan.
Radius kerusakan yang kecil adalah salah satu keunggulan nyata pendekatan ini.
Asumsi Pelanggaran (Assume Breach)
Zero Trust bekerja dengan menganggap bahwa pelanggaran keamanan bisa saja sudah terjadi atau sedang berlangsung. Bukan pesimisme, tapi cara berpikir yang lebih jujur tentang kondisi ancaman siber saat ini.
Ketika tim IT berasumsi bahwa jaringan mereka belum pernah ditembus, mereka cenderung bereaksi setelah insiden terjadi. Assume breach membalik pola itu: tim IT aktif berburu tanda-tanda kompromi sebelum kerugian membesar.
Pemantauan aktivitas jaringan secara real-time, analisis log yang berkelanjutan, dan respons insiden yang sudah dilatih sebelumnya menjadi bagian dari rutinitas, bukan pemadam kebakaran darurat.
Dalam praktiknya, prinsip ini juga mendorong segmentasi jaringan yang ketat. Bahkan jika penyerang berhasil masuk ke satu segmen, mereka tidak bisa bergerak bebas ke seluruh sistem. Pergerakan lateral, salah satu taktik paling umum dalam serangan ransomware, menjadi jauh lebih sulit dilakukan.
Komponen Teknologi yang Mendukung Zero Trust
Zero Trust bukan sekadar konsep, ia membutuhkan teknologi konkret untuk dapat dijalankan. Beberapa komponen kunci yang biasanya digunakan meliputi:
- Multi-Factor Authentication (MFA): Lapisan verifikasi tambahan di luar kata sandi
- Identity and Access Management (IAM): Sistem pengelolaan identitas dan hak akses pengguna
- Endpoint Security: Perlindungan terhadap setiap perangkat yang terhubung ke jaringan
- Micro-segmentation: Pembagian jaringan menjadi segmen-segmen kecil untuk membatasi pergerakan ancaman
- Continuous Monitoring: Pemantauan aktivitas jaringan secara real-time
Apa Itu SASE?
SASE, singkatan dari Secure Access Service Edge dan dibaca “sassy”, adalah istilah yang pertama kali diperkenalkan oleh lembaga riset Gartner pada 2019.
SASE menggabungkan kemampuan jaringan dan keamanan ke dalam satu platform berbasis cloud yang terintegrasi, sehingga perusahaan tidak perlu mengelola banyak alat keamanan yang terpisah-pisah.
Sederhananya, SASE menjawab tantangan yang muncul ketika perusahaan mulai berpindah dari infrastruktur on-premise ke cloud: bagaimana cara menjaga keamanan akses ke semua aplikasi dan data, dari mana pun pengguna terhubung?
Komponen Utama Arsitektur SASE
SASE bukan satu produk yang bisa dibeli dan langsung dipakai. Ia adalah arsitektur yang terdiri dari lima lapisan teknologi yang bekerja secara terpadu. Memahami fungsi masing-masing akan membantu Anda menilai seberapa luas cakupan perlindungan yang dibutuhkan perusahaan.
Zero Trust Network Access (ZTNA)
ZTNA adalah inti dari SASE, menggantikan fungsi VPN tradisional dengan pendekatan akses berbasis identitas yang lebih ketat. Pengguna hanya mendapat akses ke aplikasi tertentu yang diizinkan, bukan ke seluruh jaringan.
VPN konvensional punya masalah mendasar: begitu pengguna terhubung, mereka masuk ke jaringan secara penuh. Jika akun tersebut sudah dikompromikan, penyerang punya akses yang sama luasnya.
ZTNA memotong asumsi itu. Koneksi dibuat secara spesifik per aplikasi, bukan per jaringan, sehingga radius potensi kerusakan jauh lebih kecil.
Untuk tim yang bekerja remote atau tersebar di berbagai lokasi, ZTNA juga memberikan pengalaman akses yang lebih cepat dan konsisten dibanding VPN, karena koneksi dioptimalkan melalui jaringan cloud terdekat, bukan harus melewati server pusat perusahaan terlebih dahulu.
Secure Web Gateway (SWG)
SWG memfilter seluruh lalu lintas internet sebelum mencapai perangkat pengguna. Fungsinya adalah memblokir akses ke situs berbahaya, mencegah unduhan malware, dan memastikan kebijakan penggunaan internet perusahaan diterapkan secara konsisten, di mana pun karyawan terhubung.
Contoh konkretnya: seorang karyawan yang bekerja dari kafe mengklik tautan di email yang terlihat seperti notifikasi resmi dari vendor.
SWG mengenali domain tersebut sebagai situs phishing dan memblokir koneksi sebelum halaman sempat terbuka. Tanpa SWG, perangkat sudah terkena serangan sebelum tim IT mengetahuinya.
Bedanya dengan antivirus biasa, SWG bekerja di level jaringan, bukan hanya di level perangkat. Artinya, perlindungan tetap aktif meski perangkat yang digunakan adalah laptop pribadi karyawan yang mungkin tidak sepenuhnya dikelola oleh IT perusahaan.
Cloud Access Security Broker (CASB)
CASB berdiri di antara pengguna dan aplikasi cloud seperti Google Workspace, Microsoft 365, Salesforce, atau Dropbox. Tugasnya adalah memastikan data yang bergerak keluar masuk platform tersebut tetap terlindungi dari kebocoran, penyalahgunaan, atau akses yang tidak sah.
Bayangkan seorang karyawan yang meng-upload dokumen kontrak klien ke akun Dropbox pribadinya karena lebih mudah diakses dari rumah.
CASB bisa mendeteksi dan memblokir aksi tersebut karena melanggar kebijakan data perusahaan, bahkan jika aplikasinya sendiri adalah layanan yang sah dan populer.
CASB juga memberikan visibilitas atas shadow IT, yaitu aplikasi cloud yang digunakan karyawan tanpa sepengetahuan atau persetujuan IT. Ini salah satu risiko keamanan yang sering diremehkan, tapi nyata dampaknya.
Firewall as a Service (FWaaS)
FWaaS memberikan kemampuan firewall tingkat enterprise langsung dari cloud, tanpa memerlukan perangkat keras fisik di setiap lokasi kantor. Kebijakan keamanan dikelola secara terpusat dan diterapkan secara seragam ke seluruh lokasi dan pengguna.
Untuk perusahaan dengan banyak kantor cabang, ini perubahan yang signifikan. Model lama mengharuskan setiap kantor punya perangkat firewall fisik tersendiri, yang berarti biaya pengadaan, pemeliharaan, dan pembaruan firmware yang berbeda-beda di setiap lokasi.
FWaaS menggantinya dengan satu kebijakan yang dikelola dari satu titik.
Ketika ada kerentanan baru yang ditemukan, pembaruan bisa diterapkan seketika ke seluruh infrastruktur tanpa harus mengirim teknisi ke masing-masing kantor. Ini bukan hanya soal efisiensi biaya, tapi soal kecepatan respons terhadap ancaman.
SD-WAN
SD-WAN mengelola koneksi jaringan antar lokasi secara cerdas, memilih jalur terbaik secara dinamis berdasarkan kondisi jaringan saat itu. Hasilnya, akses ke aplikasi cloud terasa lebih cepat dan stabil meski karyawan terhubung dari kantor cabang di daerah dengan infrastruktur internet yang kurang optimal.
Dalam arsitektur SASE, SD-WAN bukan hanya soal performa. Ia bekerja bersama komponen keamanan lain untuk memastikan setiap paket data yang melewati jaringan sudah terenkripsi dan diautentikasi.
Koneksi antar cabang yang dulu hanya mengandalkan MPLS yang mahal bisa digantikan dengan koneksi broadband biasa yang tetap aman berkat lapisan keamanan dari SASE.
Untuk perusahaan yang sedang ekspansi ke lokasi baru, SD-WAN dalam SASE juga mempercepat proses onboarding jaringan karena tidak perlu lagi konfigurasi manual perangkat di setiap titik baru.
Perbedaan Zero Trust vs SASE
Banyak tim IT yang awalnya bingung menempatkan Zero Trust dan SASE dalam strategi keamanan perusahaan karena keduanya sering disebut dalam konteks yang sama. Padahal, keduanya adalah pendekatan yang berbeda dalam hal cakupan, cara kerja, dan tujuan utamanya.
Tabel berikut merangkum perbedaan kunci antara keduanya:
| Aspek | Zero Trust | SASE |
| Sifat | Kerangka kerja / filosofi keamanan | Arsitektur teknologi terintegrasi |
| Fokus utama | Manajemen identitas dan kontrol akses | Keamanan jaringan + akses secara menyeluruh |
| Cakupan | Kontrol akses berbasis identitas | Jaringan, akses, dan keamanan cloud dalam satu platform |
| Implementasi | Dapat bertahap, lebih sederhana | Lebih kompleks, membutuhkan integrasi menyeluruh |
| Komponen inti | MFA, IAM, Endpoint Security, Micro-segmentation | ZTNA, SWG, CASB, FWaaS, SD-WAN |
| Cocok untuk | Semua skala perusahaan | Perusahaan dengan infrastruktur cloud dan banyak lokasi |
Dari tabel di atas, satu hal yang langsung terlihat: Zero Trust dan SASE tidak bersaing di lapangan yang sama. Zero Trust bicara soal bagaimana kepercayaan dikelola, sedangkan SASE bicara soal di mana dan melalui apa keamanan itu diterapkan.
Keduanya menjawab pertanyaan yang berbeda, tapi saling membutuhkan jawabannya.
Yang juga perlu dicatat adalah soal fleksibilitas implementasi. Zero Trust bisa dimulai dari satu titik kecil, misalnya cukup dengan menerapkan MFA dan kebijakan least privilege di sistem yang paling kritis.
SASE, di sisi lain, membutuhkan integrasi yang lebih menyeluruh sejak awal karena komponen-komponennya dirancang untuk bekerja sebagai satu kesatuan, bukan potongan terpisah.
Perbedaan ini punya implikasi langsung terhadap anggaran, kesiapan tim, dan urutan prioritas. Jadi sebelum memilih salah satu sebagai titik masuk, penting untuk memahami bagaimana keduanya sebetulnya saling berhubungan di level yang lebih dalam.
Zero Trust Adalah Fondasi, SASE Adalah Arsitekturnya
Cara paling tepat untuk memahami hubungan keduanya adalah dengan analogi berikut: Zero Trust adalah filosofi “jangan percaya siapapun sampai terbukti aman”, sedangkan SASE adalah infrastruktur yang memungkinkan filosofi tersebut diterapkan secara menyeluruh di seluruh jaringan cloud.
ZTNA, salah satu komponen SASE, pada dasarnya adalah implementasi prinsip Zero Trust dalam konteks akses jaringan. Artinya, Zero Trust bisa diterapkan tanpa SASE, tetapi SASE tidak bisa berjalan optimal tanpa prinsip Zero Trust di dalamnya.
SASE Saja Belum Cukup untuk Memenuhi Zero Trust Sepenuhnya
Jawabannya: belum tentu. SASE memang dibangun di atas prinsip Zero Trust, tetapi sekadar mengadopsi arsitektur SASE tidak secara otomatis berarti seluruh strategi Zero Trust perusahaan sudah terpenuhi.
Zero Trust punya banyak komponen tambahan di luar ZTNA, seperti IAM yang kuat, enkripsi data end-to-end, dan pemantauan berkelanjutan di seluruh endpoint.
Dua komponen yang sering menjadi bagian dari strategi Zero Trust tapi tidak selalu tercakup dalam SASE adalah Data Loss Prevention (DLP) dan User and Entity Behavior Analytics (UEBA).
DLP memastikan data sensitif tidak keluar dari jaringan tanpa izin, baik sengaja maupun tidak. UEBA mendeteksi pola perilaku mencurigakan dari pengguna atau sistem, misalnya akun yang tiba-tiba mengunduh volume data jauh di atas kebiasaan normalnya, yang bisa jadi sinyal awal kompromi sebelum kerugian membesar.
Kedua komponen ini bekerja di lapisan yang berbeda dari yang ditangani SASE. Jadi jika perusahaan ingin Zero Trust yang benar-benar menyeluruh, SASE adalah bagian penting dari jawabannya, tapi bukan satu-satunya.
Kapan Harus Memilih Zero Trust, Kapan Memilih SASE?
Pertanyaan “mana yang lebih baik” sebenarnya kurang tepat, karena Zero Trust dan SASE bukan pilihan yang saling menggantikan. Namun, ada kondisi tertentu yang membuat salah satunya lebih relevan sebagai titik awal transformasi keamanan perusahaan.
Kondisi yang Cocok untuk Zero Trust
Pendekatan Zero Trust lebih cocok sebagai langkah awal bagi perusahaan yang ingin memperkuat fondasi keamanannya tanpa harus langsung melakukan perubahan infrastruktur secara menyeluruh. Beberapa kondisi yang membuat Zero Trust menjadi pilihan prioritas:
- Perusahaan sedang dalam proses migrasi bertahap dari sistem on-premise ke cloud
- Anggaran IT terbatas sehingga implementasi perlu dilakukan secara bertahap
- Tim IT ingin fokus dulu pada penguatan manajemen identitas dan kontrol akses
- Perusahaan pernah mengalami insiden akibat kredensial yang bocor atau hak akses yang terlalu luas
Kondisi yang Cocok untuk SASE
SASE lebih sesuai untuk perusahaan yang sudah beroperasi secara cloud-first atau memiliki infrastruktur yang tersebar di banyak lokasi. Kondisi yang mendukung adopsi SASE antara lain:
- Perusahaan memiliki banyak kantor cabang atau tim yang tersebar secara geografis
- Infrastruktur sudah sangat bergantung pada aplikasi cloud dan SaaS
- Tim IT kewalahan mengelola banyak alat keamanan yang terpisah dan ingin mengonsolidasikannya
- Perusahaan ingin mengganti VPN tradisional dengan solusi akses yang lebih aman dan skalabel
Bagaimana Zero Trust dan SASE Bekerja Bersama?
Alih-alih memilih salah satu, banyak perusahaan yang sudah matang dalam hal keamanan justru mengintegrasikan keduanya. Zero Trust menjadi fondasi filosofis yang menentukan kebijakan akses, sementara SASE menjadi platform teknologi yang mewujudkan kebijakan tersebut di lapangan.
Gambaran sederhana cara kerjanya: ketika seorang karyawan mencoba mengakses aplikasi bisnis dari perangkat pribadinya di luar kantor,
SASE menangani koneksi jaringannya secara aman melalui ZTNA, sementara prinsip Zero Trust memastikan identitas pengguna diverifikasi ulang dan aksesnya dibatasi hanya pada aplikasi yang dibutuhkan.
Kombinasi ini memberikan lapisan perlindungan berlapis: keamanan di level jaringan lewat SASE, keamanan di level akses dan identitas lewat Zero Trust.
Tantangan Implementasi yang Perlu Diantisipasi
Zero Trust maupun SASE bukan solusi yang bisa langsung berjalan sempurna begitu dipasang. Ada sejumlah tantangan nyata yang perlu dipahami sebelum memulai implementasi.
Kompleksitas integrasi
SASE melibatkan banyak komponen yang harus terintegrasi dengan sistem yang sudah ada. Perusahaan dengan infrastruktur lama (legacy systems) perlu perencanaan migrasi yang matang agar transisi tidak mengganggu operasional.
Tantangan ini sering muncul bukan dari teknologinya sendiri, tapi dari ketidakcocokan antara sistem lama dan arsitektur baru. Misalnya, aplikasi internal yang dibangun di atas asumsi jaringan tertutup perlu dievaluasi ulang sebelum bisa berjalan dengan baik di lingkungan SASE.
Tanpa inventarisasi sistem yang menyeluruh di awal, proses integrasi bisa memakan waktu dua hingga tiga kali lebih lama dari perkiraan.
Perubahan budaya kerja
Zero Trust mengharuskan perubahan cara kerja tim IT dan pengguna akhir. Verifikasi berlapis bisa terasa merepotkan bagi pengguna jika tidak dikomunikasikan dan didesain dengan baik dari sisi pengalaman pengguna.
Resistensi dari pengguna akhir sering kali menjadi hambatan yang lebih besar dari hambatan teknis. Karyawan yang terbiasa login sekali lalu bebas mengakses semua sistem akan merasa terganggu dengan autentikasi tambahan, terutama jika prosesnya terasa lambat atau berulang tanpa alasan yang jelas.
Kunci untuk mengurangi gesekan ini adalah sosialisasi yang spesifik, bukan sekadar email pengumuman, melainkan sesi pelatihan singkat yang menjelaskan alasan di balik perubahan ini dan cara kerja sistem baru secara praktis.
Kebutuhan sumber daya dan keahlian
Implementasi keduanya memerlukan tim dengan keahlian spesifik di bidang cloud security, IAM, dan network engineering. Bagi banyak perusahaan, ini berarti perlu berinvestasi pada pelatihan internal atau bermitra dengan penyedia layanan keamanan yang berpengalaman.
Kekurangan talenta di bidang keamanan siber adalah masalah nyata di banyak perusahaan, termasuk perusahaan besar sekalipun.
Jika tim IT internal belum familiar dengan konsep Zero Trust atau arsitektur SASE, memaksakan implementasi secara mandiri justru berisiko menghasilkan konfigurasi yang salah, yang dalam konteks keamanan jaringan, bisa lebih berbahaya daripada tidak mengimplementasikannya sama sekali.
Bermitra dengan konsultan yang berpengalaman di fase awal bisa mempercepat kurva belajar sekaligus mengurangi risiko kesalahan konfigurasi sejak tahap deployment.
Kesimpulan
Mulai dari MFA dan least privilege dulu, baru naik ke arsitektur SASE seiring kematangan infrastruktur. Itu urutan yang masuk akal, jauh lebih realistis daripada langsung membeli platform mahal tanpa kebijakan akses yang jelas di bawahnya.
Yang terpenting bukan soal memilih salah satu, melainkan memahami posisi perusahaan saat ini dan menentukan langkah yang paling konkret untuk dimulai. Strategi keamanan yang dibangun bertahap dan terencana selalu lebih kuat dari solusi yang diterapkan terburu-buru.
Jika perusahaan Anda sedang mempertimbangkan langkah konkret untuk memulai perjalanan Zero Trust atau SASE, Adaptist PRIME dari Accelist Adaptist Consulting hadir sebagai solusi yang dirancang untuk membantu perusahaan merancang dan mengimplementasikan strategi keamanan jaringan secara terstruktur, sesuai dengan skala dan kebutuhan bisnis Anda.
Tim konsultan kami siap mendampingi dari tahap asesmen awal hingga implementasi penuh, memastikan setiap langkah berjalan tepat sasaran.
Siap Mengelola Identitas Digital sebagai Strategi Keamanan Bisnis?
Request demo sekarang dan pelajari bagaimana solusi IAM membantu memusatkan proses login pengguna melalui Single Sign-On (SSO), mengotomatisasi onboarding karyawan, serta melindungi data perusahaan dari akses tidak sah tanpa mengganggu produktivitas akibat login berulang.
FAQ
Zero Trust adalah pendekatan keamanan berbasis verifikasi akses, sedangkan SASE adalah arsitektur cloud yang menggabungkan jaringan dan keamanan dalam satu platform.
Ya, karena Zero Trust membantu membatasi akses dan mengurangi risiko kebocoran data di semua skala bisnis.
Ya, SASE melalui ZTNA dapat memberikan akses yang lebih aman dan fleksibel dibanding VPN tradisional.
