Meskipun banyak yang menyederhanakan definisi zero-trust sebagai "tidak percaya siapa pun dan apa pun" atau "jangan pernah percaya, selalu verifikasi", definisi ini agak terbatas. Sebaliknya, konsep yang menjadi inti dari zero-trust adalah anggapan bahwa kepercayaan terhadap siapa saja atau apa saja, bahkan komponen yang mendasarinya, dalam sistem yang saling berhubungan akan menciptakan risiko keamanan yang signifikan. Kepercayaan perlu dibangun serta terus divalidasi menggunakan kebijakan keamanan yang dinamis dan kontekstual serta berbagai mekanisme teknologi. 

Pendekatan ini memanfaatkan segmentasi mikro menggunakan kontrol kebijakan terperinci untuk membagi jaringan menjadi segmen yang lebih kecil dan workload yang terisolasi. Kebijakan berbasis konteks, sesuai dengan identitas, lokasi, perangkat, konten yang diakses, dan aplikasi. Kebijakan bersifat dinamis, sehingga dinilai ulang secara berkala dan disesuaikan dengan perubahan konteks.

Data dan resource tidak dapat diakses secara default, dan hanya diberikan koneksi dengan akses yang dikontrol secara ketat setelah diautentikasi dan diotorisasi. Proses ini berlaku untuk semua pengguna atau endpoint yang terhubung, dan identitas terus diautentikasi. Selain itu, semua lalu lintas jaringan dicatat, dipantau, dan dianalisis dengan cermat untuk mendeteksi sinyal penyusupan. 

Berikut cara yang lebih sederhana untuk memahaminya: Bayangkan jaringan dan infrastruktur Anda merupakan fasilitas yang sangat rahasia dari pemerintah, dan zero-trust adalah sistem keamanannya. Sistem keamanan ini mungkin mencakup keamanan perimeter standar, alarm, dan sensor untuk mendeteksi akses yang tidak sah. 

Zero-trust menambahkan keamanan ke semua titik akses di dalam perimeter. Setiap sisi dan ruangan di gedung juga selalu terkunci dan pintunya dikontrol menggunakan sistem akses biometrik. Bahkan setelah melewati petugas keamanan di pintu masuk depan, Anda harus memindai sidik jari untuk membuktikan identitas Anda di setiap pintu dan hanya akan diizinkan untuk melewatinya jika Anda memiliki izin keamanan yang tepat. Anda hanya diizinkan untuk memasuki area yang perlu Anda masuki dan tinggal selama waktu yang dibutuhkan untuk menyelesaikan bisnis Anda. 

Model zero-trust mencakup beberapa penerapan terbaru, termasuk akses jaringan zero-trust (ZTNA), arsitektur zero-trust (ZTA), dan edge zero-trust (ZTE). Namun, semua penerapan tersebut dibangun dengan konsep inti yang sama. 

Berikut adalah tiga prinsip zero-trust yang membentuk model: 

1. Anggap semua traffic jaringan merupakan ancaman. Zero-trust memiliki pandangan bahwa setiap pengguna berbahaya dan ancaman ada di mana saja, baik di dalam maupun di luar jaringan. Oleh karena itu, setiap traffic yang tidak memiliki izin eksplisit, aksesnya akan ditolak secara otomatis. Setiap alur perangkat, pengguna, dan jaringan akan diautentikasi, diotorisasi, dan divalidasi saat meminta akses secara berkelanjutan.
2. Terapkan akses dengan hak istimewa terendah. Pendekatan keamanan zero-trust memberikan akses dengan hak istimewa terendah, hak istimewa minimum, dan akses ke resource yang diperlukan saat dibutuhkan tanpa memengaruhi kemampuan untuk menyelesaikan tugas. Akses hak istimewa terendah membantu membatasi penyerang agar tidak berpindah ke resource yang lebih penting jika akun atau perangkat disusupi. 
3. Selalu pantau. Model zero-trust mendukung pemantauan berkelanjutan, serta menganalisis dan mengelola aktivitas di jaringan setiap saat. Hal ini memungkinkan pemahaman secara real-time terkait entitas yang mencoba mengakses resource serta membantu mengidentifikasi potensi ancaman, insiden aktif, dan anomali apa pun yang harus diselidiki. 

Prinsip-prinsip zero-trust yang awalnya diuraikan oleh Forrester ini juga selaras dengan framework zero-trust yang dikembangkan oleh National Institute of Standards and Technology (NIST) Amerika Serikat. Sebaiknya baca framework NIST untuk mendapatkan panduan tentang langkah-langkah praktis yang diperlukan untuk menerapkan model keamanan zero-trust di organisasi Anda. 

Beberapa pelanggaran data yang sering terjadi saat ini bukan hanya akibat dari penyerang yang menemukan cara untuk menembus perimeter jaringan. Dengan munculnya cloud computing dan tenaga kerja jarak jauh, banyak organisasi mengalami kesulitan untuk melindungi lingkungan yang makin terdistribusi dan perimeter yang sangat kecil. Data kini dihasilkan, disimpan, dan dibagikan di berbagai layanan, perangkat, aplikasi, dan orang, serta diakses dari mana saja di seluruh dunia.

Banyak pelaku ancaman menyadari bahwa mengeksploitasi kelemahan jaringan dan celah dalam cakupan di lingkungan hybrid cloud adalah bisnis yang menguntungkan. Peningkatan pelanggaran serius terjadi akibat akun yang disusupi melalui manipulasi psikologis dan teknik canggih lainnya, ancaman dari dalam yang tidak disengaja atau disengaja, serta praktik keamanan yang lebih lemah dari vendor pihak ketiga. 

Tim keamanan kini menyadari bahwa ancaman bisa saja berasal dari dalam jaringan, seperti halnya ancaman dari luar. 

Organisasi telah mencoba menerapkan langkah-langkah keamanan berlapis defense in depth, yang bertujuan untuk memberikan redundansi dan keamanan cadangan jika salah satu tindak pencegahan gagal. Namun, pendekatan ini sering kali mahal dan kompleks untuk diterapkan, dikelola, dan dipelihara—terutama dengan adanya kebutuhan untuk terus menyesuaikan dan memodifikasi segala sesuatu saat sistem, pengguna, layanan, dan perangkat baru diperkenalkan.  

Zero-trust menggabungkan strategi defense in depth, tetapi tujuannya adalah untuk meminimalkan permukaan ancaman dan membangun lingkungan yang aman secara inheren tanpa harus mengidentifikasi dan memitigasi setiap potensi ancaman. Fokusnya adalah menghentikan akses ke aset penting dan mencegah penyerang bergerak secara lateral melalui jaringan secara real time. Zero-trust memberikan pendekatan keamanan terpadu yang menawarkan perlindungan menyeluruh dan dapat disesuaikan terhadap lingkungan terdistribusi, sekaligus tetap memungkinkan akses yang aman.  

Berikut beberapa tantangan terbesar dalam menggunakan zero-trust: 

• Bersikap konsisten. Jika diterapkan dengan benar, zero-trust dapat memberikan keamanan terbaik seperti yang diiklankan. Namun, cara ini juga mengharuskan organisasi menerapkan strategi yang konsisten. Sebagian besar organisasi perlu melakukan perubahan secara bertahap saat beralih dari solusi keamanan tradisional, tetapi mereka juga perlu memastikan tidak ada kesenjangan di sepanjang prosesnya. 
• Menghambat produktivitas. Zero-trust memberikan langkah keamanan tambahan ke sebagian besar alur kerja dan dapat memengaruhi produktivitas jika tidak diterapkan dengan benar. Intinya adalah menemukan keseimbangan yang tepat dalam strategi antara mendukung pekerjaan dan mencapai postur keamanan yang kuat. Jika prosesnya terlalu mengganggu alur kerja, pengguna dapat mencoba untuk mengakalinya. 
• Memerangi ancaman orang dalam. Meskipun zero-trust dapat membantu memitigasi ancaman orang dalam melalui akses hak istimewa terendah, tetapi ini bukanlah solusi yang mudah. Penyerang sering menemukan cara untuk mendapatkan akses dengan mencuri kredensial menggunakan taktik seperti phishing atau scareware untuk mengelabui orang agar membagikan informasi sensitif. Atau, dalam skenario terburuk, Anda mungkin menghadapi pihak yang berniat jahat untuk menyalahgunakan hak istimewa mereka. Agar zero-trust dapat secara efektif melawan ancaman orang dalam, Anda harus bisa memantau dan mendeteksi setiap anomali di seluruh organisasi.
• Mempertahankan kebijakan dan arsitektur. Bisnis Anda terus tumbuh dan berkembang. Hal ini berarti kebijakan zero-trust dan struktur perizinan juga perlu terus diperbarui. Model zero-trust ini mengandalkan kebijakan yang didefinisikan secara tepat dan administrasi kebijakan yang efektif, yang juga harus dikelola dan dikonfigurasi secara proaktif untuk mencegah pelanggaran.