Apa Itu Identitas Non-Manusia? Risiko dan Solusinya
- Rita Puspita Sari
- •
- 16 jam yang lalu

Ilustrasi Identitas Non-Manusia
Di era digital yang semakin canggih, di mana layanan cloud, perangkat IoT, dan proses otomatis semakin mendominasi infrastruktur teknologi informasi (TI), konsep tentang identitas tidak lagi terbatas pada manusia saja. Saat ini, identitas non-manusia atau Non-Human Identity (NHI) menjadi elemen kunci yang sangat penting dalam sistem keamanan dan manajemen akses modern.
Tapi, apa sebenarnya yang dimaksud dengan identitas non-manusia? Apa perannya dalam infrastruktur digital masa kini? Bagaimana tantangan dan cara terbaik untuk mengelolanya? Mari kita bahas lebih lanjut, simak sampai selesai ya!
Apa Itu Identitas Non-Manusia (NHI)?
Identitas Non-Manusia adalah entitas digital yang digunakan untuk mengidentifikasi, mengautentikasi, dan mengotorisasi sistem atau komponen TI yang tidak dikendalikan langsung oleh manusia. Ini bisa mencakup berbagai macam entitas seperti:
- Mesin dan perangkat keras (seperti server, router, IoT)
- Aplikasi dan layanan otomatis
- Beban kerja di cloud (cloud workloads)
- Skrip otomatisasi dan bot
- Proses integrasi sistem (API, pipeline CI/CD)
Singkatnya, identitas non-manusia adalah segala bentuk identitas digital yang bukan milik atau dioperasikan oleh manusia. Identitas ini dibentuk dan dikelola dalam sistem TI agar entitas-entitas tersebut dapat “berkomunikasi” secara aman dan terpercaya satu sama lain, layaknya identitas manusia dalam sistem login atau akses sistem.
Menariknya, identitas non-manusia dapat dibuat dan dihapus secara otomatis sesuai kebutuhan. Artinya, ketika sebuah aplikasi cloud memerlukan koneksi ke layanan lain, ia bisa otomatis diberi identitas dan hak akses tertentu, lalu dinonaktifkan setelah selesai digunakan. Hal ini membantu menjaga efisiensi dan keamanan infrastruktur digital yang sangat dinamis.
Identitas Mesin vs Identitas Non-Manusia: Apa Bedanya?
Secara umum, istilah identitas non-manusia (Non-Human Identity) dan identitas mesin (Machine Identity) sering digunakan secara bergantian. Meskipun ada beberapa perbedaan teknis, pada dasarnya keduanya mengacu pada konsep yang sama: identitas digital yang digunakan oleh sistem non-manusia.
Namun, dalam praktiknya, ada perbedaan kecil tergantung konteks penggunaannya:
Identitas Mesin (Machine Identity) | Identitas Non-Manusia (Non-Human Identity) |
Biasanya digunakan untuk mengelola perangkat keras seperti server, laptop, dan IoT. | Lebih umum merujuk pada layanan, aplikasi, dan proses cloud. |
Melibatkan penggunaan sertifikat, kunci enkripsi, dan pengelolaan akses perangkat fisik. | Dapat mencakup aplikasi cloud-native, container, API, dan layanan serverless. |
Fokus pada pengamanan perangkat fisik dan virtual. | Fokus pada komunikasi antar sistem dalam ekosistem digital. |
Namun, karena cloud dan virtualisasi semakin berkembang, perbedaan ini menjadi semakin kabur. Kini, banyak organisasi menggunakan kedua istilah ini secara sinonim.
Bagaimana Cara Mengelola Identitas Non-Manusia?
Untuk menjaga keamanan sistem TI, identitas non-manusia harus dikelola dengan hati-hati. Beberapa metode dan teknologi yang digunakan dalam manajemen identitas ini meliputi:
-
Sertifikat Digital
Sertifikat digital dikeluarkan oleh Certificate Authority (CA) yang terpercaya. Sertifikat ini menyimpan informasi seperti:- Identitas perangkat atau aplikasi
- Kunci publik untuk enkripsi
-
Kunci Kriptografi
Kunci publik dan privat digunakan oleh mesin untuk:- Enkripsi dan dekripsi data
- Verifikasi keaslian dan integritas
- Tanda tangan digital
Kunci ini menjadi tulang punggung dalam menjaga keamanan komunikasi antar mesin dan aplikasi. -
Lifecycle Management (LCM)
Meliputi proses:- Penerbitan sertifikat atau kredensial
- Pembaruan secara berkala
- Pencabutan saat tidak lagi diperlukan
Lifecycle Management sangat penting agar identitas tidak kedaluwarsa atau disalahgunakan. -
Manajemen Rahasia (Secrets Management)
Rahasia dalam konteks ini bisa berupa:- Kata sandi
- Token API
- Sertifikat TLS/SSL
- Kunci enkripsi
Semua elemen ini harus disimpan dalam sistem brankas digital (seperti HashiCorp Vault atau AWS Secrets Manager) agar tidak bocor atau digunakan secara sembarangan. -
Kepatuhan dan Standar Keamanan
Organisasi juga wajib mengikuti regulasi industri seperti:- ISO 27001
- NIST
- GDPR (untuk privasi data)
- HIPAA (untuk sistem kesehatan)
Standar ini memastikan identitas non-manusia dikelola dengan cara yang benar dan aman.
Praktik Terbaik dalam Mengelola Identitas Non-Manusia
Untuk mengatasi tantangan tersebut, berikut beberapa praktik terbaik yang direkomendasikan:
- Terapkan Prinsip Hak Akses Minimum (Least Privilege Access)
- Hanya berikan izin yang benar-benar dibutuhkan.
- Audit secara rutin untuk memastikan tidak ada akses berlebihan.
- Gunakan Brankas Digital untuk Kredensial
- Jangan pernah menyimpan kredensial di dalam kode.
- Gunakan secret manager untuk menyimpan dan mengatur akses rahasia secara otomatis.
- Otomatiskan Manajemen Sertifikat dan Kunci
- Gunakan tools seperti CLM (Certificate Lifecycle Management) untuk memperbarui dan mencabut sertifikat secara otomatis.
- Ini mencegah terjadinya kredensial yang kedaluwarsa namun masih aktif.
- Integrasikan ke Sistem Pemantauan dan Respons Insiden
- Catat semua aktivitas dari identitas non-manusia.
- Deteksi anomali seperti akses di luar jam operasional atau dari lokasi tidak biasa.
- Gunakan Identitas Berbasis Peran (RBAC) atau Aturan (ABAC)
- Pastikan identitas diberi akses berdasarkan fungsi spesifik, bukan secara umum.
- Misalnya, bot yang hanya melakukan pencadangan tidak perlu akses tulis ke seluruh sistem.
Jenis Identitas Non-Manusia yang Harus Diamankan
Mengapa identitas non-manusia menjadi fokus baru dalam keamanan? Karena mereka seringkali menjadi jalur pintas bagi peretas untuk menyusup ke dalam sistem organisasi. Entitas-entitas ini menjalankan tugas-tugas penting seperti mengotomatisasi proses, membangun aplikasi, mengelola infrastruktur cloud, hingga mengakses data sensitif perusahaan.
Berikut adalah jenis identitas non-manusia yang harus diamankan dengan baik agar organisasi tidak menjadi korban kebocoran data atau serangan siber besar.
-
Alat DevOps, CI/CD, dan Supply Chain Perangkat Lunak
Alat-alat DevOps seperti Jenkins, GitLab, Ansible, dan pipeline CI/CD adalah tulang punggung dari proses pembangunan dan penyebaran perangkat lunak modern. Mereka memegang akses istimewa untuk membaca, menulis, dan menjalankan skrip pada server produksi.
Namun, alat ini juga disebut sebagai aset "Tingkat Nol" karena jika diretas, maka seluruh sistem bisa dikompromikan.Tantangan Keamanan:
- Security harus bergeser ke kiri, artinya dimulai sejak tahap awal dalam pengembangan (shift-left security).
- Jika pengembang menggunakan manajemen rahasia yang tidak aman, maka rahasia bisa tersebar tanpa terdeteksi.
- Kurangnya pengawasan dan audit bisa memicu kebocoran rahasia.
Contoh kasus: pelanggaran data CircleCI pada tahun 2023 yang memperlihatkan bagaimana pipeline DevOps yang tidak aman bisa menjadi celah masuk peretas.
-
Alat dan Skrip Otomasi
Skrip PowerShell, bash, atau Python yang digunakan untuk mengotomasi tugas-tugas TI tampak sederhana, tapi bisa sangat berbahaya jika tidak dikendalikan dengan baik. Skrip ini seringkali memerlukan akses istimewa ke jaringan, server, dan file.Tantangan Keamanan:
- Banyak skrip menggunakan hardcoded credentials dan diposting tanpa sengaja ke repositori.
- Seringkali diabaikan karena dianggap tidak berbahaya.
- Sulit dilacak karena sifatnya jarang digunakan dan mudah diduplikasi.
Skrip sederhana juga bisa membawa risiko besar, seperti yang terjadi dalam kasus Uber 2022, ketika kredensial dalam skrip dieksploitasi peretas.
-
Environment Cloud dan Aplikasi Cloud-Native
Dalam era digital modern, penggunaan cloud computing sudah menjadi kebutuhan dasar banyak organisasi. Umumnya, perusahaan menggunakan multi-cloud yaitu mengandalkan beberapa penyedia layanan cloud (Cloud Service Provider/CSP) seperti AWS, Azure, Google Cloud, dan lainnya demi fleksibilitas dan efisiensi biaya.Namun, di balik keunggulannya, lingkungan cloud memiliki tantangan tersendiri. Setiap penyedia layanan cloud memiliki metode berbeda dalam menyimpan, mengakses, dan mengelola kredensial serta rahasia. Aplikasi cloud-native, yang dirancang khusus untuk cloud, biasanya menggunakan arsitektur mikroservis dan memperbarui dirinya secara otomatis melalui pipeline CI/CD.
Tantangan Keamanan:
- Lingkungan cloud bersifat dinamis, sehingga keamanan harus mengikuti kecepatan kerja pengembang.
- Hardcoded credentials (kredensial ditanam dalam kode) menjadi celah bagi peretas.
- Ketidakpatuhan terhadap kebijakan keamanan perusahaan bisa terjadi karena developer sering mengabaikan standar keamanan demi kecepatan deploy.
Repositori kode publik (seperti GitHub) bisa secara tidak sengaja mengekspos rahasia, seperti yang terjadi dalam kasus kebocoran data AstraZeneca, di mana kredensial cloud bocor melalui kode terbuka.
-
Bot RPA (Robotic Process Automation)
RPA adalah teknologi yang memungkinkan otomatisasi tugas-tugas manual dengan menggunakan bot digital. Banyak perusahaan menggunakannya untuk mempercepat proses bisnis, dari mengelola email hingga entri data.Namun, setiap bot membutuhkan identitas digital dan akses ke sistem. Jika manajemen kredensial bot dilakukan secara manual, maka risikonya sangat tinggi, terutama jika jumlah bot terus bertambah dan berjalan 24/7 tanpa pengawasan manusia.
Tantangan Keamanan:
- Rotasi manual kredensial tidak dapat diskalakan untuk ratusan bot.
- Jika keamanan menghambat efisiensi, tim operasional cenderung melewatinya.
- Diperlukan sistem manajemen identitas otomatis dan terpusat untuk menjaga kecepatan sekaligus keamanan.
-
Aplikasi Buatan Sendiri N-Tier/Statis
Meskipun tren cloud dan otomasi terus meningkat, masih banyak perusahaan yang bergantung pada aplikasi internal yang dibuat secara khusus bertahun-tahun lalu. Aplikasi ini biasanya berbasis Java, C++, atau PHP, dan berjalan di sistem operasi tradisional seperti Unix atau Linux.Tantangan Keamanan:
- Banyak aplikasi menyimpan password secara lokal atau dalam file konfigurasi.
- Sulit untuk menerapkan rotasi kredensial otomatis.
Aplikasi sering memiliki hak akses berlebihan, padahal seharusnya hanya - membutuhkan akses terbatas.
- Harus dapat terhubung ke aplikasi modern, yang kadang menimbulkan kesenjangan integrasi keamanan.
-
Aplikasi COTS dan ISV
Aplikasi Commercial Off-The-Shelf (COTS) dan Independent Software Vendors (ISV) adalah aplikasi pihak ketiga yang dibeli dan digunakan langsung oleh perusahaan. Contohnya seperti aplikasi ERP, CRM, atau layanan integrasi data.Karena bukan dikembangkan internal, keamanan aplikasi ini bergantung pada vendor. Namun tetap saja, aplikasi ini mendapatkan hak akses yang tinggi ke sistem internal perusahaan.
Tantangan Keamanan:
- Integrasi keamanan perlu dikembangkan oleh vendor, bukan oleh tim internal.
- Supply Chain perangkat lunak dari vendor bisa jadi titik lemah.
Jika akses ke aplikasi disusupi, maka data penting seperti informasi pelanggan bisa bocor. - Diperlukan prinsip least privilege access (hak istimewa paling rendah) dan just-in-time access (akses sesuai kebutuhan dan waktu) untuk meminimalkan risiko.
-
Aplikasi Mainframe
Aplikasi mainframe seperti IBM zOS masih banyak digunakan di sektor keuangan, perbankan, dan pemerintahan karena stabilitas dan skalabilitasnya. Namun, mengamankan mainframe tidak semudah mengamankan sistem modern.Tantangan Keamanan:
- Rotasi kredensial bisa mengganggu transaksi dalam jumlah besar.
- Banyak sistem menyimpan kredensial secara lokal dan tidak terenkripsi.
- Perlu tingkat keandalan dan uptime tinggi, sehingga sistem keamanan yang rumit malah bisa menjadi hambatan.
Strategi Pengamanan Identitas Non-Manusia
Melindungi identitas non-manusia bukan tugas yang mudah, tetapi sangat penting. Berikut beberapa strategi yang bisa diterapkan:
- Gunakan Manajemen Rahasia Terpusat (Secrets Management):
- Gunakan solusi seperti HashiCorp Vault, AWS Secrets Manager, atau Azure Key Vault untuk menyimpan rahasia secara aman.
- Terapkan Prinsip Least Privilege dan Zero Trust:
- Pastikan setiap identitas hanya memiliki hak akses minimum yang diperlukan.
- Jangan pernah percaya tanpa verifikasi, meskipun itu berasal dari dalam sistem.
- Otomatisasi Rotasi Kredensial:
- Hindari hardcoded credentials. Gunakan sistem otomatis untuk mengganti password/kunci secara berkala.
- Audit dan Monitoring Secara Berkala:
- Lakukan logging dan monitoring pada semua aktivitas identitas non-manusia.
- Integrasikan Keamanan dalam CI/CD Pipeline:
- Lakukan scanning terhadap kredensial yang bocor sejak fase pengembangan kode.
Tantangan Utama dalam Mengelola Identitas Non-Manusia
Mengelola NHI bukanlah hal yang mudah. Ada beberapa tantangan unik yang tidak ditemukan dalam pengelolaan identitas manusia:
-
Tidak Bisa Gunakan MFA
Berbeda dengan manusia yang bisa menggunakan Multi-Factor Authentication (MFA) seperti biometrik, SMS OTP, atau email verifikasi, NHI tidak bisa melakukannya. Ini membuat mereka lebih rentan terhadap penyalahgunaan jika tidak dilindungi dengan benar. -
Kurangnya Visibilitas dan Pengawasan
Banyak organisasi tidak tahu berapa banyak identitas non-manusia yang aktif di sistem mereka. Ini membuka celah besar dalam keamanan, terutama jika ada identitas yang terlupakan atau tidak digunakan lagi namun masih punya akses ke sistem penting. -
Kesalahan Konfigurasi Izin
Salah dalam memberikan izin bisa berakibat fatal. Misalnya, jika bot A diberi akses penuh ke database yang seharusnya hanya boleh dibaca, maka ia bisa menghapus atau memanipulasi data penting. -
Tantangan Skalabilitas
Dalam sistem besar seperti microservices atau cloud-native apps, jumlah identitas bisa mencapai ribuan bahkan jutaan. Tanpa sistem otomatisasi dan manajemen yang tepat, semua itu akan sulit dikontrol.
Kesimpulan:
Di tengah gelombang otomatisasi dan migrasi besar-besaran ke cloud, identitas non-manusia menjadi fondasi penting dalam menjaga keamanan dan kelancaran sistem TI modern. Entitas ini—mulai dari perangkat, aplikasi, bot, hingga layanan cloud—membutuhkan pengelolaan yang cermat, sistematis, dan aman.
Mengabaikan identitas non-manusia sama saja membuka celah bagi serangan siber, pencurian data, atau malfungsi sistem. Oleh karena itu, organisasi harus mulai memperlakukan NHI dengan perhatian yang sama seriusnya seperti mereka mengelola identitas manusia. Dengan mengimplementasikan praktik terbaik, menggunakan teknologi yang tepat, dan memperkuat kesadaran akan pentingnya NHI, keamanan digital perusahaan dapat dijaga lebih optimal.
Di dunia yang semakin terdigitalisasi, identitas non-manusia bukan lagi sekadar pilihan teknis, tetapi sebuah keharusan strategis.