Kedua konsep keamanan ini mungkin terdengar serupa tetapi keduanya sama sekali berbeda.
Meskipun konsep tanpa kepercayaan dan tanpa pengetahuan merupakan komponen penting dari tren keamanan siber saat ini, keduanya tidaklah sama.
Kedengarannya agak mirip dan memiliki tujuan yang sama, tetapi pengetahuan nol melangkah lebih jauh dari kepercayaan nol dalam menciptakan sistem keamanan yang dapat melawan ancaman dunia maya yang terus berkembang.
Faktanya, bukti tanpa pengetahuan dapat digunakan untuk mengubah ide model keamanan tanpa kepercayaan menjadi kenyataan. Namun, sebelum kita melanjutkan, mari kita perjelas apa kedua konsep tersebut.
Apa Itu Nol Kepercayaan?
Singkatnya, ide sentral di balik konsep zero trust adalah “jangan percaya siapa pun, periksa semua orang”. Jadi, dalam kerangka tanpa kepercayaan, tidak ada kepercayaan antara jaringan dan penggunanya, jaringan dan komponen perangkat keras dan perangkat lunaknya, atau antara organisasi dan penggunanya.
Dengan asumsi bahwa setiap orang dan segala sesuatu adalah ancaman sampai terbukti sebaliknya, keamanan tanpa kepercayaan selalu meminta semacam otentikasi sebelum mengizinkan akses ke aplikasi dan data di belakangnya. Semua pengguna dalam kerangka kerja tanpa kepercayaan harus diautentikasi, diotorisasi, dan melewati penilaian postur keamanan terlebih dahulu.
Selain itu, zero trust memberdayakan administrator TI untuk memastikan visibilitas lengkap ke semua pengguna, perangkat, dan sistem. Ini tidak hanya mengamankan kepatuhan terhadap peraturan tetapi juga membantu menghindari serangan siber yang disebabkan oleh kredensial pengguna yang disusupi dan mengurangi pelanggaran data. Jadi, ada lebih dari beberapa alasan untuk mengadopsi model keamanan tanpa kepercayaan.
Apa Itu Nol Pengetahuan?
Konsep tanpa pengetahuan mencoba mencari tahu bagaimana seseorang dapat membuktikan bahwa mereka memiliki sesuatu yang rahasia, seperti sepotong informasi sensitif, tanpa mengungkapkannya. Dalam konteks enkripsi tanpa pengetahuan, keamanan tanpa pengetahuan memastikan bahwa data pengguna dienkripsi sebelum pengguna berkomunikasi dengan penyedia layanan. Selain itu, data dapat didekripsi dengan kunci unik, yang tidak diketahui oleh penyedia—hanya pengguna yang memiliki kunci tersebut.
Jadi, dengan enkripsi tanpa pengetahuan, tidak seorang pun kecuali pengguna yang dapat mengakses data mereka dalam bentuk yang tidak terenkripsi. Idealnya, tidak seorang pun selain pengguna yang dapat mengakses data dalam bentuk terenkripsi, kecuali negara-negara di dalamnya Aliansi Lima Mata, Sembilan Mata, dan 14 Mata akan mengatakan sebaliknya.
Dalam keamanan siber, pengetahuan nol dapat dilihat sebagai komponen dari model kepercayaan nol sebagaimana dimungkinkan tindakan seperti otentikasi yang harus dilakukan tanpa mengungkapkan informasi sensitif apa pun tentang pengguna.
Nol Kepercayaan vs. Zero-Knowledge: Persamaan dan Perbedaan
Jika slogan dari konsep zero trust adalah “trust no one”, maka tagline zero knowledge adalah “we know nothing”. Meskipun kedua konsep ini memiliki tujuan yang sama—yaitu, memperkuat keamanan data dan keamanan siber secara keseluruhan—keduanya tidak bekerja dengan cara yang sama.
Dalam keamanan siber, pengetahuan nol dapat dilihat sebagai komponen dari model kepercayaan nol sebagaimana dimungkinkan tindakan seperti otentikasi yang harus dilakukan tanpa mengungkapkan informasi sensitif apa pun tentang pengguna.
Model tanpa pengetahuan dapat digunakan untuk melindungi privasi data karena penyedia layanan memiliki "pengetahuan nol" tentangnya. Dalam kebanyakan kasus, data ini terdiri dari kata sandi, kredensial login, dan informasi sensitif lainnya. Banyak jenis autentikasi dua faktor (2FA) dan autentikasi multi faktor (MFA) memanfaatkan metode zero-knowledge model, yang berarti Anda tidak akan diminta untuk berbagi rahasia atau memberikan informasi sensitif apa pun untuk memverifikasi Anda identitas.
Baik 2FA dan MFA adalah komponen penting dari kerangka kerja tanpa kepercayaan, yang selanjutnya didukung oleh enkripsi dan pemisahan data. Penyedia layanan yang menggunakan kerangka kerja keamanan tanpa pengetahuan dan tanpa kepercayaan dapat memastikan sistemnya dilindungi dari ancaman dalam dan luar dan bahwa tidak ada data sensitif yang akan disusupi jika ada data melanggar.
Nol Kepercayaan vs. Zero-Knowledge: Mana yang Lebih Penting untuk Keamanan Siber?
Tidak ada alasan mengapa profesional keamanan siber harus memilih antara konsep keamanan tanpa kepercayaan dan tanpa pengetahuan. Setelah mengetahui bagaimana keduanya bekerja dalam keamanan siber, kita dapat melihat nol pengetahuan sebagai komponen penting dari model keamanan tanpa kepercayaan.
Kami juga harus mencatat bahwa meskipun penerapan konsep zero trust mungkin tampak sederhana dalam teori, namun lebih mudah diucapkan daripada dilakukan dalam praktiknya.