Security
Arsitektur Keamanan Zero Trust untuk Aplikasi Cloud-Native: Panduan Praktis
Mei 202610 menit baca
Foto oleh Unsplash
Foto oleh Unsplash
BSSN (Badan Siber dan Sandi Negara) Indonesia melaporkan lebih dari 3 miliar upaya serangan siber terhadap infrastruktur digital Indonesia pada 2025 — peningkatan 400% dari 2022, didorong oleh digitalisasi pesat layanan pemerintah dan fintech. Keamanan perimeter tradisional (firewall masuk, tepercaya di dalam) sangat tidak memadai untuk arsitektur cloud-native di mana workload mencakup beberapa cloud, layanan berkomunikasi melalui jaringan bersama, dan 'perimeter' tidak lagi ada. Zero Trust — jangan pernah percaya, selalu verifikasi, asumsikan pelanggaran — adalah respons arsitektural.
Zero Trust adalah model keamanan, bukan produk, yang didefinisikan oleh tiga prinsip inti: jangan pernah mempercayai permintaan apa pun secara implisit berdasarkan lokasi jaringan (termasuk jaringan korporat 'dalam'), terapkan akses least privilege sehingga setiap identitas hanya mendapatkan izin yang dibutuhkan untuk tugas saat ini, dan asumsikan pelanggaran dengan merancang sistem untuk membatasi blast radius komponen yang dikompromikan.
NIST SP 800-207 mendefinisikan lima pilar Zero Trust: Identity (setiap user dan layanan memiliki identitas kriptografis yang terverifikasi), Devices (hanya perangkat yang dikelola dan compliant yang dapat mengakses sumber daya), Network (lalu lintas dienkripsi dan diotorisasi di level workload, bukan perimeter), Applications (setiap aplikasi menerapkan otorisasinya sendiri), dan Data (data diklasifikasikan dan akses dikontrol di lapisan data). Kebanyakan organisasi mulai dengan Identity dan Network karena keduanya memberikan return keamanan tertinggi.
Dalam arsitektur microservices yang di-deploy di beberapa availability zone atau cloud, konsep jaringan internal yang tepercaya adalah fiksi. Container yang dikompromikan di namespace 'tepercaya' dapat membuat panggilan API lateral ke layanan pembayaran, database, dan secret store tanpa hambatan jika hanya firewall perimeter yang ada. Serangan SolarWinds 2021 menunjukkan bagaimana software internal yang tepercaya dapat dijadikan senjata; pelanggaran MOVEit 2023 menunjukkan bagaimana software transfer file yang tepercaya menjadi vektor serangan.
Petakan topologi komunikasi layanan-ke-layanan Anda sebelum mengimplementasikan kebijakan Zero Trust. Gunakan dashboard Kiali Istio atau Cilium Hubble untuk secara otomatis menemukan dan memvisualisasikan layanan mana yang berbicara ke layanan mana — Anda pasti akan menemukan koneksi tak terduga yang mewakili kode lama yang terlalu permisif atau masalah keamanan potensial. Peta ini menjadi baseline Anda untuk menulis aturan AuthorizationPolicy.
Mutual TLS (mTLS) memastikan bahwa klien dan server dalam koneksi layanan-ke-layanan saling mengautentikasi satu sama lain dengan sertifikat X.509 sebelum bertukar data. Dalam service mesh Kubernetes seperti Istio, mTLS diimplementasikan secara transparan oleh sidecar proxy (Envoy) — kode aplikasi tidak berubah, proxy menangani rotasi sertifikat, validasi, dan enkripsi. Mode mTLS STRICT Istio menolak semua lalu lintas plaintext, memastikan tidak ada layanan yang dapat berkomunikasi secara tidak sengaja tanpa autentikasi.
Kubernetes NetworkPolicy menyediakan micro-segmentation L3/L4 (IP dan port), membatasi pod mana yang dapat menginisiasi koneksi TCP ke pod lain mana. Istio AuthorizationPolicy menyediakan otorisasi L7 (lapisan aplikasi), membatasi service account (identitas kriptografis) mana yang dapat memanggil HTTP path mana di layanan mana. Keduanya bekerja bersama: NetworkPolicy menghentikan koneksi TCP yang tidak diotorisasi sebelum mencapai sidecar Envoy, dan AuthorizationPolicy menangani kontrol akses tingkat HTTP yang terperinci.
# NetworkPolicy — micro-segmentation: only allow payment-service to reach db
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-payment-to-db
namespace: production
spec:
podSelector:
matchLabels:
app: postgres-payments
policyTypes:
- Ingress
ingress:
- from:
- podSelector:
matchLabels:
app: payment-service
ports:
- protocol: TCP
port: 5432
---
# Default deny-all for the namespace
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-all
namespace: production
spec:
podSelector: {}
policyTypes:
- Ingress
- Egress
---
# Istio PeerAuthentication — enforce mTLS for all services in namespace
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: default-mtls
namespace: production
spec:
mtls:
mode: STRICT # reject all plaintext traffic
---
# Istio AuthorizationPolicy — only payment-service may call billing-service
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: billing-authz
namespace: production
spec:
selector:
matchLabels:
app: billing-service
rules:
- from:
- source:
principals:
- cluster.local/ns/production/sa/payment-serviceSPIFFE (Secure Production Identity Framework For Everyone) mendefinisikan standar untuk identitas workload kriptografis yang disebut SVID (SPIFFE Verifiable Identity Documents), diformat sebagai URI spiffe://trust-domain/path. SPIRE (SPIFFE Runtime Environment) adalah implementasi referensi: server yang bertindak sebagai certificate authority, dan agen yang berjalan di setiap node yang membuktikan identitas workload dan mengeluarkan X.509 SVID berumur pendek. SVID dirotasi otomatis setiap jam, membatasi jendela eksposur jika sertifikat dikompromikan.
Kerangka Keamanan Siber BSSN selaras dengan NIST CSF dan secara eksplisit merekomendasikan prinsip Zero Trust untuk operator infrastruktur kritis (PSE — Penyelenggara Sistem Elektronik strategis). UU Perlindungan Data Pribadi (UU PDP, berlaku 2024) mewajibkan pengendali data untuk mengimplementasikan 'langkah-langkah keamanan teknis dan organisasi yang tepat' — micro-segmentation Zero Trust dan enkripsi-dalam-transit secara langsung memenuhi persyaratan ini dan menyediakan jejak audit untuk regulator.
Ganti password service account berumur panjang dan API key dengan token OIDC berumur pendek dan identitas workload native Kubernetes. AWS IRSA (IAM Roles for Service Accounts) dan GCP Workload Identity Federation memungkinkan pod Kubernetes mengasumsikan peran IAM cloud tanpa kredensial yang tersimpan — API server Kubernetes mengeluarkan token OIDC bertanda tangan yang divalidasi oleh IAM cloud. Ini menghilangkan mode kegagalan manajemen secret paling umum: kredensial berumur panjang yang disimpan di Kubernetes Secrets atau environment variable.
Membeli produk 'Zero Trust' vendor (gateway ZTNA, cloud access broker) tanpa merancang ulang kebijakan identitas dan jaringan Anda memberikan rasa aman yang palsu — ini adalah security theater. Zero Trust sejati membutuhkan penghapusan kepercayaan implisit secara sistematis: menghapus password service account berumur panjang, mengganti akses berbasis VPN dengan identity-aware proxy, menerapkan mTLS antar semua layanan, dan mengimplementasikan AuthorizationPolicy yang terperinci. Setiap langkah membutuhkan berminggu-minggu hingga berbulan-bulan. Peta jalan Zero Trust yang realistis mencakup 12–24 bulan.
Nilai keamanan sertifikat mTLS sepenuhnya bergantung pada seberapa cepat sertifikat yang dikompromikan dirotasi. Istio, menggunakan Citadel CA bawaannya, merotasi sertifikat layanan setiap 24 jam secara default — dapat dikonfigurasi hingga 1 jam untuk lingkungan keamanan tinggi. SPIRE merotasi SVID setiap 60 menit. Pasangkan ini dengan pencatatan transparansi sertifikat dan pencabutan otomatis melalui OCSP stapling.
NetworkPolicy default-deny (diterapkan ke semua namespace) memastikan tidak ada pod yang dapat menginisiasi koneksi jaringan kecuali secara eksplisit diizinkan oleh aturan kebijakan. Ini mengharuskan penulisan aturan izin eksplisit untuk setiap jalur komunikasi yang sah — awalnya padat karya tetapi mendokumentasikan diri. Cilium, plugin CNI Kubernetes menggunakan eBPF, memperluas NetworkPolicy dengan filtering HTTP path L7, filtering egress berbasis DNS, dan observabilitas mendalam ke dalam aliran jaringan.
Telemetri Istio menghasilkan log akses untuk setiap panggilan layanan-ke-layanan termasuk identitas sumber (URI SPIFFE), layanan tujuan, metode HTTP, path, kode respons, dan latensi. Mengirimkan log-log ini ke SIEM (Elastic SIEM, Splunk, atau Wazuh open-source) memungkinkan deteksi anomali real-time: pola panggilan tidak biasa antar layanan, layanan yang memanggil endpoint yang belum pernah diaksesnya sebelumnya, atau lonjakan respons 403 Forbidden yang menunjukkan klien yang salah konfigurasi atau jahat.
Implementasikan Zero Trust secara bertahap menggunakan mode mTLS PERMISSIVE Istio terlebih dahulu — mode ini mengizinkan lalu lintas plaintext dan mTLS sekaligus mencatat layanan mana yang masih berkomunikasi tanpa mTLS. Gunakan Kiali untuk mengidentifikasi semua jalur komunikasi plaintext, perbaiki satu per satu, dan hanya beralih ke mode STRICT setelah semua layanan menunjukkan lalu lintas hanya mTLS. Mencoba beralih ke mode STRICT di cluster besar sekaligus akan menyebabkan gangguan layanan segera.
Implementasi Zero Trust yang realistis untuk startup atau perusahaan Indonesia mengikuti pendekatan bertahap: Fase 1 (bulan 1–3) membangun fondasi identitas — SSO dengan MFA, inventarisasi service account, dan menghilangkan kredensial bersama. Fase 2 (bulan 3–6) mengimplementasikan kontrol jaringan — NetworkPolicy default-deny dan mTLS antar layanan kritis. Fase 3 (bulan 6–12) menerapkan otorisasi lapisan aplikasi — Istio AuthorizationPolicy dan klasifikasi data. Setiap fase memberikan peningkatan keamanan yang terukur dan memenuhi persyaratan kepatuhan BSSN dan OJK secara bertahap.
Kebijakan Zero Trust tidak boleh menjadi pajak produktivitas bagi developer. Berikan developer dokumentasi yang jelas tentang panggilan layanan-ke-layanan mana yang diizinkan dan antarmuka self-service (plugin Backstage atau alat CLI) untuk meminta aturan AuthorizationPolicy baru dengan tinjauan keamanan otomatis. Gunakan dry-run mode untuk kebijakan baru (aksi 'audit' Istio mencatat apa yang akan ditolak tanpa benar-benar menolaknya) untuk memvalidasi kebijakan terhadap lalu lintas produksi sebelum penegakan.
Istilah kunci dalam artikel ini meliputi mTLS (Mutual TLS), SPIFFE/SPIRE, BSSN, and micro-segmentation.