
TL;DR: ZIA mengamankan internet & SaaS (trafik keluar dari kantor). ZPA memberi akses ke aplikasi internal tanpa VPN. Idealnya dua-duanya dipakai bersama, tapi itu tujuan jangka panjang. Kebanyakan kantor mulai dari salah satunya dulu, sesuai masalah yang paling nyeri.
Satu Menit, Satu Tabel
| Pertanyaan | Kalau “ya” → |
|---|---|
| VPN lemot / sering dilupa / credential risk? | ZPA dulu → penjelasan ZPA |
| Phishing / malware dari browsing remote? | ZIA dulu → penjelasan ZIA (segera) |
| Audit UU PDP + logging akses? | ZPA + policy; ZIA untuk data keluar |
| Hanya office-bound, ga remote? | Mungkin belum urgent – Level 1 remote |
| Sudah ZPA, browsing masih bebas? | Tambah ZIA |
Beda Fundamental
| ZIA | ZPA | |
|---|---|---|
| Nama lengkap | Zscaler Internet Access | Zscaler Private Access |
| Arah traffic | User → internet/SaaS | User → app private |
| Menggantikan | SWG on-prem, insecure breakout | VPN ke LAN |
| Komponen khas | Cloud proxy, URL/DLP | App Connector, App Segments |
| Pain keyword | Shadow IT, phishing web | VPN lemot, malware menyebar di jaringan |
Skenario Indonesia
Skenario A: Distributor 200 orang, VPN jadi masalah
Contoh: sales dan gudang akses ERP/HRIS dari lapangan, VPN sering lemot atau dilupakan. Mulai dari 5 tanda VPN harus diganti. Prioritas pertama: ZPA untuk ERP dan HRIS (uji coba kecil dulu). ZIA bisa menyusul di fase berikutnya, terutama untuk browsing sales di luar kantor.
Skenario B: Banyak app sudah di cloud, VPN masih oke
Contoh: tim sudah pakai Google Workspace / Microsoft 365 / SaaS lain, tapi browsing masih bebas dan IT kurang lihat apa yang keluar. Prioritas pertama: ZIA supaya ada visibility dan kontrol data (DLP). ZPA baru relevan kalau masih ada aplikasi legacy di server kantor yang harus diakses remote.
Skenario C: Industri ketat (keuangan / kesehatan)
Audit minta jejak akses jelas dan hak akses seminimal mungkin. Biasanya ZIA dan ZPA keduanya dibutuhkan, tapi tetap di-deploy bertahap (bukan sekaligus). Panduan hybrid lebih detail akan kami tulis terpisah.
Urutan Deploy yang Umum Dipakai
Jangan matikan VPN atau firewall lama dalam semalam. Pola yang aman:
- Assessment bersama KIN: inventaris aplikasi dan pola trafik.
- Uji coba produk yang paling mendesak dulu (ZPA atau ZIA).
- Jalan paralel: sistem lama (VPN / SWG) masih hidup sebagai cadangan.
- Perluas: tambah user/app, lalu baru produk kedua kalau perlu.
- Matikan legacy setelah yang baru sudah stabil.
Hindari cutover total di akhir minggu tanpa buffer.

VPN, ZIA, dan ZPA Bukan Saling Menggantikan Satu Sama Lain
Saat ZPA digelar, VPN masih boleh hidup sementara untuk sistem legacy yang belum dipindah. ZIA juga bukan pengganti ZPA: beda lapisan (internet/SaaS vs aplikasi internal). Stack yang sering dipakai di kantor hybrid modern: ZPA + ZIA, plus proteksi endpoint (EDR) seperti yang dibahas di panduan keamanan karyawan remote.
Yang Bisa Kamu Lakukan Sekarang
Hari ini: Jawab jujur tabel “Pertanyaan” di atas. Dari situ biasanya sudah kelihatan harus mulai ZPA, ZIA, atau keduanya bertahap.
Minggu ini: Hubungi KIN untuk assessment. Kami bantu usulkan urutan yang masuk akal, tanpa memaksa beli bundle kalau belum perlu.
Pertanyaan yang Sering Diajukan (FAQ)
Bisa ZIA saja tanpa ZPA?
Bisa. Kalau masalah utamanya browsing atau SaaS (phishing, data keluar), bukan akses aplikasi internal lewat VPN.
Bisa ZPA saja tanpa ZIA?
Bisa. Kalau yang paling nyeri VPN atau akses remote ke app kantor. Risiko browsing tetap perlu solusi lain (bisa ZIA nanti, atau tool lain).
Mana yang lebih mahal?
Tergantung paket dan jumlah user. Hubungi KIN untuk estimasi; sering lebih efisien kalau direncanakan bertahap daripada beli bundle sekaligus tanpa inventory.
Berapa lama deploy keduanya?
Untuk organisasi sekitar 100 – 500 user, rollout bertahap biasanya 6 – 12 bulan (perkiraan; bisa lebih cepat atau lambat tergantung kompleksitas app dan kesiapan IT).
Apakah ada alternatif selain Zscaler?
Ya. Ada vendor ZTNA/SWG lain. Artikel ini fokus ke Zscaler karena itu yang KIN implement; evaluasi vendor lain di luar cakupan tulisan ini.