Bangun fondasi Zero Trust yang aman untuk AI

AI mengubah cara bisnis beroperasi dan berinovasi di era pekerjaan hibrid dan jarak jauh. Hal ini juga membawa tantangan dan risiko baru, terutama terkait keamanan dan privasi data. Seiring bisnis berusaha berinovasi dan mendukung karyawan mereka dari mana saja, bisnis juga harus dapat melindungi informasi berharga mereka. Zero Trust adalah kerangka kerja keamanan yang menyesuaikan dengan tempat kerja modern untuk melindungi karyawan dan perangkat mereka dengan lebih baik. Hal ini juga menyediakan perlindungan untuk teknologi AI, yang dapat diterapkan untuk memperkuat keamanan.

Data yang terkelola menghasilkan model AI, yang bergantung pada sejumlah besar informasi untuk mempelajari, menganalisis, dan menghasilkan wawasan. Kebutuhan data yang aman ini menjadikannya aset rentan yang harus dilindungi dari akses, penyalahgunaan, dan pencurian yang tidak sah. Pelanggaran apa pun—titik akhir, identitas, aplikasi, infrastruktur, jaringan—dapat memiliki konsekuensi serius bagi bisnis, seperti kerusakan reputasi, tanggung jawab hukum, dan hilangnya kepercayaan.

Dengan mengadopsi kerangka kerja keamanan Zero Trust, bisnis dapat melindungi akses mereka sekaligus menyediakan hal yang diperlukan karyawan untuk menyelesaikan pekerjaan. Zero Trust mengikuti tiga prinsip dasar:

1.      Verifikasikan secara tegas. Zero Trust memerlukan verifikasi identitas dan izin berkelanjutan sebelum memberikan akses ke data dan sumber daya.
2.      Gunakan akses hak istimewa terendah. Batasi akses pengguna dengan kebijakan adaptif berbasis risiko Just-in-time dan Just-Enough-Access (JIT/JEA).
3.      Selalu waspadai pelanggaran. Jika ada sesuatu yang janggal, segera minimalkan potensi ancaman dengan memisahkan akses, lalu gunakan analitik untuk mengidentifikasi masalah dan memperkuat pertahanan.

Keamanan Zero Trust memastikan bahwa informasi sensitif selalu dilindungi, terlepas dari tempatnya disimpan, diproses, atau diakses— itulah sebabnya Zero Trust penting untuk adopsi AI. Seiring organisasi merangkul AI, model keamanan untuk terus melindungi aset mereka yang paling berharga akan mendukung mereka mendorong inovasi dan menjadi lebih produktif.

Bersama dengan langkah-langkah keamanan yang lebih kuat, prinsip Zero Trust dapat diterapkan ke implementasi AI:

Memiliki informasi yang akurat, lengkap, dan konsisten sangatlah penting karena akan menentukan kualitas output AI. Jika ada orang yang memanipulasi atau merusak izin aplikasi atau data terkelola, data menjadi rusak, sehingga alat AI menghasilkan hasil yang tidak akurat, tidak dapat diandalkan, atau bias. Zero Trust melindungi integritas data dengan memblokir akses yang tidak sah selama siklus hidup identitas.

Kontrol akses sangat penting untuk mencegah penggunaan tidak sah dan tidak layak terhadap AI dan data yang menginformasikannya. Strategi Zero Trust memperkuat kontrol ini dengan menerapkan prinsip hak istimewa terendah, sehingga mencegah karyawan mengakses data sensitif, aplikasi, titik akhir, atau identitas yang berpotensi menggunakan AI untuk tujuan berbahaya.

Seperti halnya teknologi modern apa pun, AI rentan terhadap pelanggaran dan serangan cyber—terutama dengan perangkat jarak jauh. Ancaman keamanan dapat membahayakan kerahasiaan dan ketersediaan data terkelola, titik akhir, dan jaringan—yang dapat berdampak besar pada privasi dan keselamatan karyawan dan pelanggan. Zero Trust meningkatkan keamanan melalui autentikasi multifaktor dan identifikasi sinkronisasi di seluruh perangkat yang digunakan karyawan.

Keamanan Zero Trust bukanlah sebuah produk atau solusi tertentu. Ini adalah sekumpulan prinsip, praktik, dan teknologi yang bekerja sama untuk mencapai tingkat keamanan yang tinggi untuk melindungi setiap aplikasi, sumber data, titik akhir, infrastruktur, dan jenis lingkungan apa pun, baik organisasi Anda berbasis cloud, lokal, atau hibrid.

Untuk membangun dan mempertahankan dasar yang kuat dalam Zero Trust, bisnis harus menyertakan fitur dan kemampuan keamanan penting ini:

Prinsip pertama keamanan Zero Trust memerlukan verifikasi eksplisit dari semua identitas dan perangkat sebelum memberikan akses. Kepercayaan tidak pernah diasumsikan atau diberikan secara permanen, yang membuatnya dinamis dan kontekstual, sehingga kepercayaan dapat berubah berdasarkan situasi, lokasi, waktu, atau perangkat.

Hak istimewa terendah hanya memberikan tingkat akses minimum yang diperlukan untuk tugas atau peran tertentu. Prinsip ini membantu mengurangi permukaan serangan dan potensi kerusakan pelanggaran dengan membatasi paparan data, infrastruktur, sumber daya jaringan, aplikasi, atau titik akhir hanya untuk pihak yang membutuhkannya. Prinsip ini juga memberlakukan pemisahan tugas dan informasi berdasarkan kebutuhan-untuk-mengetahui, sehingga mencegah karyawan tertentu mengakses informasi yang sangat sensitif.

Zero Trust keamanan membagi jaringan dan infrastruktur menjadi zona atau segmen yang lebih kecil berdasarkan sensitivitas data, aplikasi, peran, dan fungsi bisnis. Langkah ini mengisolasi dan melindungi semuanya dari akses yang tidak sah atau berbahaya dan akan berisi dan membatasi penyebaran pelanggaran dengan membatasi pergerakan dan komunikasi antar segmen. Segmentasi mikro juga membantu meningkatkan kinerja dan visibilitas jaringan, karena mengurangi kemacetan dan memungkinkan pemantauan dan kontrol yang lebih luas.

Kemampuan ini memungkinkan tim keamanan memantau jaringan dan infrastruktur untuk menemukan setiap anomali atau perilaku mencurigakan dan mengambil tindakan langsung untuk mengisolasi atau memitigasi risiko. Deteksi dan respons ancaman real time mengurangi dampak pelanggaran sekaligus mengidentifikasi dan mengatasi akar penyebabnya. Hal ini juga membantu meningkatkan postur keamanan organisasi melalui umpan balik yang dapat ditindaklanjuti yang mendorong adaptasi dan ketahanan berkelanjutan.

Membangun fondasi aman di Zero Trust bukanlah proyek satu kali, melainkan perjalanan berkelanjutan yang memerlukan visi strategis, pendekatan holistik, dan pergeseran budaya.

Langkah-langkah ini menyediakan jalur yang terbuka lebar bagi organisasi untuk menilai kondisi mereka saat ini, tujuan mereka, dan cara mereka mencapai tujuan keamanan mereka:

Langkah pertama adalah mengevaluasi langkah keamanan yang ada, mengidentifikasi kekuatan dan kelemahan, serta menentukan celah dan potensi risiko. Audit akan membantu Anda memahami postur keamanan anda saat ini dan memprioritaskan tindakan Anda untuk mengalokasikan sumber daya yang sesuai.

Identifikasi masalah titik akhir, aplikasi, infrastruktur, jaringan, data, dan sumber daya di operasi bisnis Anda yang dapat menyebabkan kerusakan signifikan jika hilang atau disusupi. Klasifikasikan setiap aset berdasarkan nilai, sensitivitas, dan dampak. Mengidentifikasi aset penting akan memungkinkan Anda untuk memfokuskan upaya Anda dalam melindungi hal yang paling penting.

Buat dan dokumentasikan aturan dan kebijakan tertentu untuk mengatur area pertahanan Anda. Kebijakan ini harus didasarkan pada tiga prinsip utama Zero Trust: verifikasi eksplisit, hak istimewa terendah, dan asumsi pelanggaran. Aturan ini tidak bersifat permanen, tetapi akan menjadi dasar untuk masa depan.

Sebarkan teknologi yang memberlakukan dan mendukung kebijakan Zero Trust Anda, seperti manajemen identitas dan akses, enkripsi dan hash data, segmentasi dan isolasi jaringan, deteksi dan respons ancaman, serta analitik dan kecerdasan keamanan. Solusi ini harus terintegrasi dan selaras dengan proses bisnis, sistem, operasi, dan tujuan Anda.

Setelah teknologi Anda diterapkan, beri tahu karyawan Anda tentang pentingnya dan manfaat keamanan Zero Trust, beserta peran dan tanggung jawab mereka dalam menerapkan dan mempertahankannya. Pelatihan dan kesadaran karyawan dapat membantu menumbuhkan kultur keamanan dan kepercayaan yang ditingkatkan serta dapat meningkatkan keterlibatan dan kepatuhan mereka. Pelatihan ini juga dapat membantu mencegah atau mengurangi kesalahan manusia, yang merupakan penyebab umum pelanggaran keamanan.

Setelah semuanya aktif dan berjalan, rencanakan waktu untuk mengevaluasi kinerja keamanan Anda, mengidentifikasi masalah apa pun, dan menemukan peluang untuk peningkatan. Pemantauan berkelanjutan akan membantu Anda mempertahankan dan meningkatkan postur keamanan dan menjadi lebih tangguh saat lanskap ancaman berkembang seiring waktu.

Mengadopsi fondasi Zero Trust juga dapat memberikan manfaat utama bagi AI dan untuk bisnis Anda:

Keamanan Zero Trust memastikan bahwa semua hal—jaringan, identitas, titik akhir, aplikasi, data, alat AI—dilindungi, diverifikasi, dan dipantau setiap saat. Memiliki AI yang aman akan mengomunikasikan kepercayaan dan kredibilitas kepada pelanggan dan mitra Anda dengan menggunakan teknologi secara bertanggung jawab.

Kerangka kerja Zero Trust membantu Anda memenuhi dan melampaui persyaratan dan standar peraturan untuk keamanan dan privasi data, seperti Peraturan Perlindungan Data Umum (GDPR), Undang-Undang Privasi Konsumen California (CCPA), atau Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA). Kerangka ini juga membantu Anda mempersiapkan dan merespons peraturan baru dan berkembang untuk etika dan tata kelola AI, seperti Undang-Undang AI dari Komisi Eropa atau Prinsip AI dari OECD.

Dengan menerapkan prinsip "jangan pernah percaya, selalu verifikasi" ke data Anda, Anda dapat meningkatkan privasi data untuk penggunaan AI dengan membuatnya hanya dapat diakses oleh karyawan yang berwenang untuk tujuan yang sah. Hal ini juga membantu Anda menghargai dan melindungi hak dan preferensi subjek data Anda, seperti pelanggan, karyawan, atau mitra, karena memberikan transparansi, kontrol, dan persetujuan atas data mereka.

Kemampuan ini memungkinkan tim keamanan memantau jaringan dan infrastruktur untuk menemukan setiap anomali atau perilaku mencurigakan dan mengambil tindakan langsung untuk mengisolasi atau memitigasi risiko. Deteksi dan respons ancaman real time mengurangi dampak pelanggaran sekaligus mengidentifikasi dan mengatasi akar penyebabnya. Hal ini juga membantu meningkatkan postur keamanan organisasi melalui umpan balik yang dapat ditindaklanjuti yang mendorong adaptasi dan ketahanan berkelanjutan.

Jelajahi kasus penggunaan praktis tentang bagaimana fondasi Zero Trust yang kuat membantu integrasi dan keamanan AI

Zero Trust dapat membantu melindungi algoritma AI kepemilikan, model AI terlatih, dan kekayaan intelektual AI. Hal ini juga dapat mencegah akses, modifikasi, atau pencurian yang tidak sah atau berbahaya, yang menjaga integritas dan keasliannya. 

• Skenario: Lindungi algoritma AI Anda dalam riset dan pengembangan dengan melakukan hash kode AI Anda, mengisolasi lingkungan AI unik, dan memastikan pengembang AI Anda hanya memiliki akses secukupnya.

Alur data AI mencakup proses dan sistem yang memungkinkan alur data dari pengumpulan ke analisis. Zero Trust menjaga data tetap terlindungi, diverifikasi, dan dipantau sepanjang siklus hidupnya dan memastikan bahwa kualitas dan akurasinya tetap terjaga. 

• Skenario: Amankan alur data Anda dari perangkat IoT ke platform cloud Anda dengan melacak dan memverifikasikan setiap perangkat IoT, mengenkripsi data dalam transit dan tidak aktif, serta menyegmentasikan zona jaringan untuk membatasi komunikasi dua arah.

Tata kelola AI meletakkan kerangka kerja dan proses untuk memastikan penggunaan AI Anda bersifat etis, bertanggung jawab, dan akuntabel. Keamanan Zero Trust dapat membantu Anda memantau dan mengaudit akses AI serta aktivitas untuk menjaga kepatuhan terhadap kebijakan dan peraturan perusahaan Anda.

• Skenario: Pantau kinerja dan perilaku AI dengan terus memverifikasikan siapa pun yang menggunakan AI dan perangkat mereka, melakukan enkripsi dan hash output dan log AI Anda, serta menerapkan deteksi dan respons ancaman real time.

Membangun fondasi dalam Zero Trust dengan mempertimbangkan AI menciptakan model yang secara efektif beradaptasi dengan kompleksitas lingkungan modern, merangkul pekerjaan hibrid dan jarak jauh, serta melindungi karyawan, perangkat, aplikasi, dan data mereka dengan lebih baik— di mana pun mereka berada. Hal ini memungkinkan bisnis memanfaatkan teknologi AI dengan percaya diri, menciptakan nilai baru, dan memberdayakan mereka untuk berinovasi dan mengamankan masa depan mereka.

Zero Trust dan AI saling melengkapi. Karena organisasi terus mengadopsi dan merangkul AI, mereka memerlukan prinsip-prinsip Zero Trust untuk mengamankan dan melindungi investasi mereka. Demikian pula, karena postur keamanan mereka menjadi lebih kompleks dan dinamis, menerapkan AI untuk mengotomatiskan fungsi tertentu akan mengurangi beban pada tim TI sehingga mereka dapat fokus pada tugas yang lebih penting.

Membangun dasar Zero Trust yang aman untuk AI sangat penting demi pengalaman AI yang efisien dan aman. Hal ini membantu bisnis melindungi jaringan, titik akhir, aplikasi, identitas, data, dan infrastruktur mereka, meningkatkan kinerja AI, serta mengurangi risiko AI. Zero Trust juga membantu bisnis membangun kepercayaan dan kepercayaan pada sistem AI mereka, meningkatkan kepatuhan terhadap peraturan, dan meningkatkan privasi data mereka.

Kunjungi Pusat Panduan Zero Trust Microsoft untuk mempelajari selengkapnya tentang cara membangun fondasi Zero Trust aman untuk AI.