hardware security module (HSM)

Apa itu Hardware Security Module (HSM)?

Hardware Security Module (HSM) adalah perangkat fisik yang menyediakan keamanan tambahan untuk data sensitif. Perangkat ini digunakan untuk menyediakan kunci kriptografi untuk fungsi-fungsi penting seperti enkripsi, dekripsi, dan autentikasi yang digunakan untuk aplikasi, identitas, dan basis data.

Perangkat ini dapat berupa kartu plugin atau tertanam dalam perangkat keras lainnya, termasuk smart card, perangkat, dan perangkat eksternal lainnya. HSM dapat terhubung ke server jaringan atau digunakan sebagai perangkat mandiri yang tidak terhubung ke jaringan. Mereka juga ditawarkan sebagai layanan cloud.

Bisnis menggunakan HSM untuk menjaga fungsi-fungsi kriptografi terkait transaksi, identitas, dan aplikasi agar terpisah dari operasi biasa dan untuk mengontrol akses ke fungsi-fungsi tersebut. Sebagai contoh, sebuah perusahaan mungkin menggunakan HSM untuk mengamankan rahasia dagang atau kekayaan intelektual dengan memastikan hanya individu yang berwenang yang dapat mengakses HSM untuk menyelesaikan transfer kunci kriptografi.

Bagaimana HSM Bekerja?

Keamanan kunci dalam sistem kriptografi sangat penting untuk menjaga sistem tetap aman. Namun, mengelola siklus hidup kunci tersebut merupakan tantangan. Di sinilah HSM berperan. HSM mengelola semua aspek siklus hidup kunci kriptografi, termasuk enam langkah berikut:

1. Provisioning. Kunci dibuat oleh HSM, sistem manajemen kunci lainnya, atau organisasi pihak ketiga yang melakukannya. Generator angka acak sejati harus digunakan untuk membuat kunci.
2. Cadangan dan penyimpanan. Salinan kunci harus dibuat dan disimpan dengan aman, jika kunci tersebut dikompromikan atau hilang. Kunci dapat disimpan dalam HSM atau media eksternal. Kunci privat harus dienkripsi sebelum disimpan.
3. Penyebaran. Ini melibatkan pemasangan kunci dalam perangkat kriptografi seperti HSM.
4. Manajemen. Kunci dikendalikan dan dipantau berdasarkan standar industri dan kebijakan internal organisasi. Sistem manajemen kunci enkripsi menangani rotasi kunci di mana kunci baru diterapkan saat kunci yang lama kedaluwarsa.
5. Arsip. Kunci yang tidak digunakan lagi disimpan secara offline dalam jangka panjang untuk ketika diperlukan untuk mengakses data yang sudah dienkripsi dengan kunci tersebut.
6. Penghapusan. Kunci harus dihancurkan dengan aman dan permanen hanya setelah dipastikan bahwa kunci tersebut tidak lagi dibutuhkan.

Hardware Security Module melindungi kunci kriptografi dan menangani proses enkripsi dan dekripsi.

HSM juga dapat membuat dan memverifikasi tanda tangan digital. Semua transaksi akses yang melibatkan HSM dicatat untuk membuat jejak audit. Perangkat ini memungkinkan bisnis untuk memindahkan informasi dan proses sensitif dari dokumentasi kertas ke format digital. Beberapa HSM dapat digunakan bersama untuk memberikan manajemen kunci publik dan meminimalkan dampak pada kecepatan aplikasi.

Fitur Penting HSM

Berikut adalah fitur-fitur dari Hardware Security Module yang berkontribusi pada keamanannya:

• Desain aman. HSM menggunakan perangkat keras yang dirancang khusus yang mematuhi standar pemerintah seperti Federal Information Processing Standardization (FIPS) 140-2, Common Criteria, dan persyaratan HSM dari Industri Kartu Pembayaran (PCI).
• Tahan terhadap perusakan. HSM melalui proses penguatan untuk membuatnya tahan terhadap perusakan ilegal dan kerusakan yang tidak disengaja.
• Sistem operasi aman. HSM memiliki sistem operasi yang berfokus pada keamanan.
• Isolasi. Mereka terletak di area fisik yang aman di pusat data untuk mencegah akses tidak sah. Beberapa organisasi memilih untuk menyimpan HSM mereka di pusat data pihak ketiga, daripada menyimpannya di tempat.
• Kontrol akses. HSM mengontrol akses ke perangkat dan data yang dilindunginya. Mereka dirancang untuk menunjukkan tanda-tanda perusakan; beberapa HSM menjadi tidak dapat digunakan atau menghapus kunci kriptografi jika terdeteksi perusakan.
• API. HSM mendukung berbagai antarmuka pemrograman aplikasi (API) yang memungkinkan integrasi aplikasi dan pengembangan aplikasi khusus, termasuk Public-Key Cryptography Standard dan Cryptography API Next Generation.

Bagaimana HSM Digunakan?

Setiap bisnis yang menangani informasi berharga atau sensitif harus mempertimbangkan untuk menggunakan Hardware Security Module. Jenis informasi tersebut termasuk data kartu kredit atau debit, kekayaan intelektual, data pelanggan, dan informasi karyawan.

HSM mengamankan data yang dihasilkan oleh berbagai aplikasi, termasuk:

• website
• perbankan
• pembayaran seluler
• cryptocurrency
• meter pintar
• perangkat medis
• kartu identitas dan nomor PIN pribadi
• dokumen digital

Perangkat ini juga digunakan untuk berbagai tujuan, termasuk penandatanganan digital, pembuatan dan manajemen kunci, memastikan kepatuhan, menyederhanakan audit, dan mengamankan data dan identitas digital.

PCI menggunakan HSM khusus yang menyediakan fitur keamanan tambahan yang diperlukan untuk transaksi keuangan. Aplikasi yang didukung oleh perangkat ini termasuk manajemen PIN; penyediaan kredensial kartu pembayaran dan aplikasi seluler; serta kemampuan verifikasi untuk PIN, kartu pembayaran, dan fungsi lainnya.

Cloud Computing dan HSM

Perkembangan cloud computing telah mempersulit proses pengamanan data sensitif, karena lebih banyak data yang dipindahkan ke cloud. Perangkat HSM yang berada di tempat (on-premises) tidak selalu dapat digunakan dalam lingkungan cloud. Penyedia layanan cloud dapat mengharuskan pelanggan untuk menggunakan HSM yang dihosting di pusat data mereka. Jika penyedia mengizinkan penggunaan perangkat di lokasi, masalah konektivitas dapat menambah latensi yang tidak diinginkan ke dalam sistem.

Penyedia cloud awalnya menyediakan layanan manajemen kunci mereka sendiri. Namun, layanan tersebut tidak selalu dapat digunakan di lingkungan hybrid cloud dan multi-cloud. Pelanggan harus menangani kompleksitas berbagai alat manajemen kunci untuk mengakomodasi strategi hybrid dan multi-cloud mereka.

Key Management as a Service (KMaaS) muncul sebagai cara untuk mengamankan kunci enkripsi di berbagai lingkungan cloud. Layanan ini menawarkan alat-alat setara HSM sesuai permintaan tanpa perlu menyediakan perangkat keras. Saat sebuah bisnis berkembang dan mendiversifikasi layanan cloud yang digunakan, mereka dapat menggunakan KMaaS yang sama untuk menyebarkan dan mengelola kunci enkripsi di layanan penyedia cloud yang berbeda.

Produk KMaaS mematuhi standar yang sama dengan HSM di tempat dan mendukung berbagai API. Dengan sistem ini, fungsi manajemen kunci enkripsi dilakukan di node edge digital, yang meminimalkan latensi dan meningkatkan kinerja aplikasi.

AWS, Google, IBM, dan Microsoft semuanya menawarkan produk KMaaS cloud, bersama dengan perusahaan kecil seperti Entrust dan Thales.

Kepatuhan Keamanan Data dan Privasi

Hardware Security Modules berada di pusat masalah keamanan data dan privasi. Karena itu, mereka mendapatkan pengawasan yang lebih besar, karena bisnis dan organisasi lain menghadapi ancaman yang semakin meningkat dalam area ini. HSM yang lebih khusus harus mematuhi berbagai standar dan peraturan, termasuk:

• Peraturan Perlindungan Data Umum Uni Eropa (GDPR);
• Standar Keamanan Data PCI;
• Ekstensi Keamanan Sistem Nama Domain;
• FIPS 140-2; dan
• Common Criteria.

Kesimpulan

Hardware Security Module adalah komponen penting dalam keamanan data di perusahaan. Mereka menyediakan pembuatan, manajemen, dan penyimpanan kunci yang terpusat yang diperlukan bisnis, serta kemampuan autentikasi dan penandatanganan digital. Teknologi HSM telah terbukti memiliki fleksibilitas yang dibutuhkan untuk mengikuti perkembangan cloud dan lingkungan ancaman yang semakin meningkat yang dihadapi organisasi saat ini.