Arsitektur Cloud HSM

Konten ini terakhir diperbarui pada Januari 2025, dan menampilkan status quo pada saat konten tersebut ditulis. Kebijakan dan sistem keamanan Google dapat berubah di masa mendatang, seiring upaya kami untuk terus meningkatkan perlindungan bagi pelanggan.

Cloud HSM adalah bagian dari arsitektur Cloud Key Management Service (Cloud KMS), dan menyediakan backend untuk menyediakan dan mengelola kunci yang dilindungi hardware. Untuk membantu Anda memenuhi peraturan perusahaan dan kepatuhan, Cloud HSM memungkinkan Anda membuat kunci enkripsi dan melakukan operasi kriptografis dalam modul keamanan hardware (HSM) bersertifikasi FIPS 140-2 Level 3.

Makalah ini menjelaskan arsitektur Cloud HSM, termasuk cara pengelolaan hardware serta pengesahan dan pembuatan kunci. Untuk informasi selengkapnya tentang Cloud KMS, lihat Enkripsi Cloud Key Management Service.

Ringkasan

Operasi kriptografis mencakup hal-hal berikut:

• Mengenkripsi data dalam penyimpanan
• Melindungi kunci pribadi untuk Certificate Authority Service
• Melindungi kunci enkripsi data sehingga dapat disimpan bersama dengan data terenkripsi
• Membuat dan menggunakan kunci asimetris untuk operasi kriptografis seperti tanda tangan dan autentikasi digital

Cloud HSM menggunakan Marvell LiquidSecurity HSM (model CNL3560-NFBE-2.0-G dan CNL3560-NFBE-3.0-G) dengan firmware versi 3.4 build 09. Untuk mengetahui informasi selengkapnya tentang sertifikasi kami, lihat Sertifikat #4399. Untuk informasi tentang perangkat HSM dan kunci yang dilindungi hardware, lihat pengesahan kunci.

Cloud HSM terkelola sepenuhnya sehingga Anda dapat melindungi workload tanpa overhead operasional pengelolaan cluster HSM. Layanan ini memberikan keuntungan berikut:

• Ketersediaan global
• API yang konsisten dan terpadu
• Penskalaan otomatis berdasarkan penggunaan Anda
• Pengelolaan terpusat dan kepatuhan terhadap peraturan

Cloud HSM tersedia di setiap Google Cloud region di seluruh dunia, termasuk multi-region yang mencakup wilayah geografis yang lebih besar. Anda harus menggunakan endpoint layanan Cloud KMS untuk membuat dan menggunakan kunci yang dilindungi hardware di Cloud HSM untuk melindungi data Anda, termasuk data yang Anda simpan di layananGoogle Cloud lainnya, seperti BigQuery, Cloud Storage, dan Persistent Disk.

Dengan Cloud HSM, Anda dapat menggunakan kunci yang dilindungi hardware tanpa harus mengelola hardware HSM sendiri. Google memiliki dan mengelola hardware HSM, termasuk deployment, konfigurasi, pemantauan, patching, dan pemeliharaan. Saat Anda menggunakan Cloud HSM, data Anda diisolasi secara ketat dari tenant dan layanan lain di Google Cloud. API bidang data Cloud HSM, yang merupakan bagian dari Cloud Key Management Service API, memungkinkan Anda mengelola kunci yang dilindungi hardware secara terprogram.

Cloud HSM mendukung Kunci Otomatis Cloud KMS yang dilindungi hardware dan kunci enkripsi yang dikelola pelanggan (CMEK), di mana pun kunci CMEK didukung oleh layanan Google Cloud . Misalnya, Anda dapat mengenkripsi data di bucket Cloud Storage atau tabel Cloud SQL menggunakan kunci Cloud HSM yang Anda kelola.

Pengelolaan Cloud HSM

Dalam Cloud HSM, cluster HSM dikelola oleh site reliability engineer (SRE) Google dan teknisi yang bekerja di setiap lokasi pusat data Google Cloud. Google menangani keamanan fisik, keamanan logis, infrastruktur, perencanaan kapasitas, perluasan geografis, dan perencanaan pemulihan pusat data akibat bencana.

Abstraksi hardware HSM

Biasanya, aplikasi akan berkomunikasi langsung dengan HSM menggunakan PKCS#11 dan API pengelolaan cluster. Komunikasi ini mengharuskan Anda mempertahankan kode khusus untuk beban kerja yang menggunakan atau mengelola kunci yang dilindungi hardware.

Cloud HSM memisahkan komunikasi dari HSM dengan membuat proxy permintaan untuk kunci yang dilindungi hardware melalui Cloud Key Management Service API. Abstraksi mengurangi kebutuhan akan kode khusus HSM. Cloud HSM mewarisi integrasi yang erat dengan Cloud KMS.

Integrasi yang erat dengan Cloud KMS memberikan manfaat keamanan yang substansial. Cloud Key Management Service API akan secara signifikan mengurangi cakupan antarmuka HSM yang tersedia, sehingga mengurangi risiko jika terjadi pelanggaran keamanan pelanggan. Misalnya, penyerang tidak dapat menghapus total seluruh HSM. Secara default, upaya untuk menghancurkan kunci individual dimitigasi melalui periode keamanan 30 hari default. Anda dapat menyetel kebijakan organisasi constraints/cloudkms.minimumDestroyScheduledDuration untuk memberlakukan panjang minimum durasi dijadwalkan untuk dimusnahkan untuk kunci baru dan kebijakan organisasi constraints/cloudkms.disableBeforeDestroy untuk menghapus versi kunci hanya jika versi tersebut dinonaktifkan. Untuk mengetahui informasi selengkapnya, lihat Mengontrol pemusnahan versi kunci.

Anda dapat mengontrol akses ke resource HSM menggunakan Identity and Access Management (IAM). Konfigurasi IAM berkemungkinan lebih kecil mengalami kesalahan konfigurasi dan bug daripada solusi HSM kustom.

Diagram berikut menunjukkan arsitektur Cloud HSM.

Pemisahan geografis yang ketat, berdasarkan rancangannya

Di Cloud HSM, Anda dapat memilih untuk menyediakan kunci secara global atau menerapkan pembatasan geografis yang ketat pada kunci yang memerlukan pembatasan.

Sering kali, HSM dibagi menjadi beberapa partisi, sehingga satu perangkat fisik dapat beroperasi sebagai beberapa perangkat logis. Anda dapat menggunakan partisi untuk mengurangi biaya deployment jika perlu memisahkan administrasi dan kunci HSM. Diagram berikut menunjukkan partisi di tiga region.

Untuk mengisolasi kunci untuk setiap region dan multi-region, setiap region Cloud HSM dikaitkan dengan kunci pelapis regional HSM yang terpisah (lihat diagram di Membuat kunci). Untuk mendukung ketersediaan tinggi, kunci pelapis di-clone ke partisi di setiap HSM yang secara fisik berada di region. Kunci regional HSM tidak meninggalkan HSM di lokasi tersebut. Dengan clone, HSM di region yang sama dapat menyalurkan kumpulan kunci pelanggan yang sama, dan memastikan bahwa HSM di luar region tidak dapat menyalurkan kunci tersebut.

Cloud HSM juga membuat multi-region menggunakan kunci pelapis. Semua kunci pelanggan untuk multi-region dilapisi menggunakan kunci pelapis pada partisi di semua lokasi yang membentuk multi-region. Layanan menggunakan hardware yang sama untuk multi-region, tetapi menyediakan isolasi yang sama kuatnya antara region dan multi-region yang ada di antara region yang berbeda.

Skema regionalisasi mengharuskan kunci pelapis hanya direplikasi ke partisi yang sesuai. Setiap perubahan konfigurasi harus disetujui oleh beberapa anggota tim Cloud HSM sebelum menjadi aktif. Teknisi pusat data tidak dapat mengakses konfigurasi, runtime, atau penyimpanan HSM.

Pengelolaan terpusat

Di pusat data konvensional yang menghosting HSM, pengelolaan HSM dan resource-nya sepenuhnya terpisah dari pengelolaan kunci lain yang dilindungi hardware. Cloud HSM terintegrasi erat ke Google Cloud, sehingga Anda dapat mengelola resource Cloud HSM dengan lancar. Misalnya, Anda dapat mengelola hal berikut:

• Anda dapat mengelola kunci yang dilindungi hardware bersama kunci lain di Cloud KMS dan kunci yang dikelola secara eksternal di Cloud External Key Manager (Cloud EKM).
• Anda dapat mengelola akses ke kunci yang dilindungi hardware dalam IAM.
• Pelaporan biaya untuk operasi kriptografis menggunakan kunci yang dilindungi hardware dilaporkan di Penagihan Cloud.
• Anda dapat menggunakan kunci yang dilindungi hardware secara transparan di semua layanan Google Cloudyang mendukung enkripsi resource menggunakan CMEK. Integrasi CMEK memerlukan kunci CMEK dan data yang dienkripsinya untuk ditempatkan di lokasi geografis yang kompatibel. Karena pembatasan geografis yang ketat pada kunci Cloud HSM, semua enkripsi dan dekripsi data CMEK juga dibatasi secara geografis.
• Operasi administratif pada kunci yang dilindungi hardware selalu dicatat ke dalam log pada lapisan API di Cloud Audit Logs. Anda juga dapat memilih untuk mengaktifkan pencatatan log akses data. Untuk informasi lebih lanjut, lihat Informasi logging audit Cloud KMS.
• Google bekerja sama langsung dengan produsen HSM untuk terus mengupdate hardware dan software pada setiap HSM, serta menemukan dan memperbaiki masalah secara real time. Jika terjadi eksploit zero-day pada HSM, Google dapat secara selektif menonaktifkan jalur kode yang terpengaruh pada cluster HSM yang terpengaruh hingga eksploit tersebut diperbaiki.
• Anda dapat melacak kunci, termasuk kunci yang dilindungi hardware dan resource yang dienkripsi menggunakan dasbor pelacakan penggunaan kunci.

Pengalaman developer dan pengguna

Karena Google bertanggung jawab atas pengelolaan HSM, Cloud HSM menawarkan manfaat yang signifikan bagi developer dan pengguna akhir.

HSM dalam skala Google

Jika Anda mengandalkan hardware yang ada di infrastruktur lokal atau di pusat data, hardware tersebut dapat menciptakan bottleneck performa atau menjadi titik tunggal kegagalan. Cloud HSM dirancang agar sangat tahan terhadap kegagalan hardware dan workload yang tidak dapat diprediksi. Backend Cloud HSM menggunakan kumpulan HSM di setiap region untuk memastikan ketersediaan dan skalabilitas tinggi. Kumpulan HSM ini memungkinkan Cloud HSM memberikan throughput yang tinggi. Untuk mengetahui informasi lebih lanjut, baca bagian Memantau dan menyesuaikan kuota Cloud KMS.

Semua kunci pelanggan disimpan dan dilapisi dengan kunci pelapis regional dalam database Cloud KMS dan hanya dapat dibuka lapisannya oleh HSM di region tersebut sebagai bagian dari operasi kriptografis. Pemberian lapisan ini memiliki manfaat berikut:

• Ketahanan kunci tidak terikat dengan HSM atau subset HSM tertentu di suatu region.
• Setiap pelanggan Cloud HSM akan mendapatkan skala dan ketersediaan penuh dari cluster Cloud HSM yang menyediakan kunci mereka.
• Cloud HSM dapat menangani kumpulan kunci yang jauh lebih besar yang dapat disimpan di HSM.
• Penambahan atau penggantian HSM dapat dilakukan dengan cepat dan aman.

Desain API terpadu

Cloud HSM dan Cloud KMS memiliki API pengelolaan dan paket data yang sama. Detail internal terkait berkomunikasi dengan HSM dipisahkan dari pemanggil.

Dengan demikian, tidak diperlukan perubahan kode untuk mengupdate aplikasi yang ada yang menggunakan kunci software di Cloud KMS untuk mendukung kunci yang dilindungi hardware. Sebagai gantinya, Anda memperbarui nama resource kunci yang akan digunakan.

Dukungan PKCS#11

Anda dapat menggunakan Cloud Key Management Service API untuk menghubungkan aplikasi yang ada ke Cloud HSM untuk mengelola kunci kriptografis. Library PKCS#11 memungkinkan Anda menggunakan kunci yang dilindungi hardware untuk menandatangani biner dan menayangkan sesi web TLS.

Kepatuhan terhadap peraturan dan keamanan

Cloud HSM telah memperoleh kepatuhan terhadap berbagai peraturan, termasuk FedRAMP High, C5:2020, dan OSPAR. Selain itu, Cloud HSM membantu Anda menegakkan kepatuhan terhadap peraturan untuk workload Anda di cloud.

Pengesahan kunci kriptografis

Setiap kali Anda membuat atau mengimpor kunci Cloud HSM, HSM akan menghasilkan pernyataan pengesahan yang ditandatangani dengan kunci penandatanganan yang terkait dengan partisi. Pernyataan tersebut berisi informasi tentang atribut kunci Anda. Kunci penandatanganan didukung oleh rantai sertifikat yang di-root di Google dan produsen HSM. Anda dapat mendownload pernyataan dan sertifikat pengesahan untuk memverifikasi keaslian pernyataan serta memvalidasi properti kunci dan HSM yang menghasilkan atau mengimpornya.

Rantai sertifikat memungkinkan Anda memeriksa hal-hal berikut:

• Hardware dan firmware HSM asli.
• Partisi HSM dan HSM dikelola oleh Google.
• HSM berada dalam mode operasi FIPS.

Isi pernyataan pengesahan memungkinkan Anda memeriksa hal-hal berikut:

• Kunci tidak dapat diekstrak.
• Kunci telah dibuat untuk CryptoKeyVersion Anda.
• Kunci publik dalam pasangan kunci asimetris sesuai dengan kunci pribadi yang dilindungi hardware.
• Bahan kunci dari kunci simetris yang diimpor cocok dengan nilai yang Anda beri lapisan.

Mengimpor kunci aman langsung ke HSM

Anda dapat mengimpor kunci yang ada dengan aman ke Cloud HSM untuk mempertahankan cadangan materi kunci Anda di luar Google Cloud, atau untuk menyederhanakan migrasi workload tertentu ke Google Cloud. Proses impor kunci tidak mengizinkan Google melakukan akses langsung apa pun ke materi kunci tanpa lapisan. Cloud HSM memberi Anda pernyataan pengesahan untuk kunci pelapis yang dihasilkan HSM guna memvalidasi bahwa tidak ada akses yang dilakukan.

Karena impor kunci berpotensi menimbulkan risiko keamanan dan kepatuhan dengan mengizinkan pengguna membawa kunci dari sumber yang tidak dikenal, peran IAM yang terpisah memungkinkan kontrol terperinci terkait siapa yang dapat mengimpor kunci ke dalam sebuah project. Kunci yang diimpor dapat dibedakan dengan pernyataan pengesahan yang dihasilkan HSM saat mengimpor.

Untuk mengetahui informasi selengkapnya, lihat Mengimpor kunci ke Cloud Key Management Service.

Prosedur keamanan yang ketat mengamankan hardware HSM

Sebagaimana diamanatkan oleh FIPS 140-2 level 3, perangkat HSM memiliki mekanisme bawaan untuk membantu melindungi dari, dan memberikan bukti, gangguan fisik.

Selain jaminan yang diberikan oleh hardware HSM, infrastruktur untuk Cloud HSM dikelola sesuai dengan Ringkasan desain keamanan infrastruktur Google.

Prosedur yang terdokumentasi dan dapat diaudit berikut melindungi integritas setiap HSM selama penyediaan, deployment, dan produksi:

• Semua konfigurasi HSM harus diverifikasi oleh beberapa SRE Cloud HSM sebelum HSM dapat di-deploy ke pusat data.
• Setelah HSM digunakan, perubahan konfigurasi hanya dapat dimulai dan diverifikasi oleh beberapa SRE Cloud HSM.
• HSM hanya dapat menerima firmware yang ditandatangani oleh produsen HSM.
• Hardware HSM tidak langsung terekspos ke jaringan apa pun.
• Server yang menghosting hardware HSM tidak dapat menjalankan proses yang tidak sah.

Tugas untuk operator sistem didefinisikan dalam prosedur operasi standar. Operator sistem tidak dapat mengakses, menggunakan, atau mengekstrak materi kunci pelanggan saat menjalankan tugasnya.

Isolasi layanan dan tenant

Arsitektur Cloud HSM memastikan bahwa HSM dilindungi dari gangguan berbahaya atau tidak disengaja dari layanan atau tenant lain.

HSM yang merupakan bagian dari arsitektur ini hanya menerima permintaan dari Cloud HSM, dan layanan Cloud HSM hanya menerima permintaan dari layanan Cloud KMS. Layanan Cloud KMS menerapkan bahwa pemanggil memiliki izin IAM yang sesuai pada kunci yang mereka coba gunakan. Permintaan yang tidak sah tidak akan sampai ke HSM.

Kunci yang dilindungi hardware juga tunduk pada kuota untuk operasi kriptografis. Kuota ini melindungi kemampuan Anda untuk menjalankan workload dengan membantu mencegah upaya yang tidak disengaja atau berbahaya untuk membebani layanan. Kuota default berdasarkan pola penggunaan yang diamati. Kuota tersebut jauh di bawah kapasitas layanan dan dapat ditingkatkan sesuai permintaan.

Alur permintaan

Bagian ini menunjukkan penerapan arsitektur Cloud HSM dalam praktiknya dengan menampilkan langkah-langkah untuk berbagai jenis permintaan. Alur ini menekankan bagian Cloud HSM. Untuk mengetahui informasi selengkapnya tentang langkah-langkah umum untuk semua kunci, lihat Mempelajari Cloud Key Management Service secara mendalam.

Membuat kunci

Saat Anda membuat kunci yang dilindungi hardware, Cloud Key Management Service API tidak akan membuat materi kunci, tetapi meminta agar HSM membuatnya.

HSM hanya dapat membuat kunci di lokasi yang didukungnya. Setiap partisi pada HSM berisi kunci pelapis yang sesuai dengan lokasi Cloud KMS. Kunci pelapis dibagikan ke semua partisi yang mendukung lokasi Cloud KMS.

Diagram berikut menunjukkan cara kunci yang dilindungi hardware digabungkan di Cloud KMS.

Proses pembuatan kunci terlihat seperti berikut:

1. Google Front End Service (GFE) akan merutekan permintaan pembuatan kunci ke server Cloud KMS di lokasi yang sesuai dengan permintaan tersebut.
2. Cloud Key Management Service API memverifikasi identitas pemanggil, izin pemanggil untuk membuat kunci dalam project, dan bahwa pemanggil memiliki kuota permintaan tulis yang memadai.
3. Cloud Key Management Service API akan meneruskan permintaan ke Cloud HSM.
4. Cloud HSM berinteraksi langsung dengan HSM. HSM:
   1. Membuat kunci dan memberinya lapisan dengan kunci pelapis khusus lokasi.
   2. Membuat pernyataan pengesahan untuk kunci dan menandatanganinya dengan kunci penandatanganan partisi.
5. Setelah Cloud HSM menampilkan kunci yang telah dilapisi dan pengesahan ke Cloud KMS, Cloud Key Management Service API akan melapisi kunci yang dilapisi HSM sesuai dengan hierarki kunci Cloud KMS, lalu menulisnya ke project.

Desain ini memastikan bahwa kunci tidak dapat dibuka lapisannya atau digunakan di luar HSM, tidak dapat diekstrak dari HSM, dan berada dalam kondisi tanpa lapisan hanya dalam lokasi yang ditentukan.

Operasi kriptografis

Saat melakukan operasi kriptografis di Cloud KMS, Anda tidak perlu mengetahui apakah Anda menggunakan kunci yang dilindungi hardware atau yang dilindungi software. Saat Cloud Key Management Service API mendeteksi bahwa suatu operasi melibatkan kunci yang dilindungi hardware, Cloud Key Management Service API akan meneruskan permintaan ke HSM di lokasi yang sama. Berikut adalah langkah-langkah untuk operasi kriptografis:

1. GFE akan merutekan permintaan ke server Cloud KMS di lokasi yang sesuai. Cloud Key Management Service API memverifikasi identitas pemanggil, izin pemanggil untuk mengakses kunci dan menjalankan operasi, serta kuota project untuk operasi kriptografis.
2. Cloud Key Management Service API mengambil kunci yang terlapisi dari datastore dan mendekripsi satu level enkripsi menggunakan kunci master Cloud KMS. Kunci tersebut masih dilapisi dengan kunci pelapis HSM untuk lokasi KMS tersebut.
3. Cloud Key Management Service API akan mendeteksi bahwa tingkat perlindungan adalah HSM dan mengirimkan kunci yang tidak dilapisi sebagian, bersama input ke operasi kriptografis, ke Cloud HSM.
4. Cloud HSM berinteraksi langsung dengan HSM. HSM menyelesaikan operasi berikut:
   1. Memeriksa apakah kunci yang dilapisi dan atributnya belum diubah.
   2. Membuka lapisan kunci dan memuatnya ke penyimpanan HSM.
   3. Melakukan operasi kriptografis dan menampilkan hasilnya.
5. Cloud Key Management Service API akan meneruskan hasilnya kembali ke pemanggil.

Operasi kriptografis menggunakan kunci yang dilindungi hardware sepenuhnya dilakukan dalam HSM di lokasi yang dikonfigurasi, dan hanya hasilnya yang terlihat oleh pemanggil.

Diagram ini menunjukkan perbedaan antara membuat kunci yang dilindungi hardware dan kunci yang dilindungi software di Cloud KMS.

Integrasi CMEK

Semua kunci yang dilindungi hardware adalah CMEK. Mengonfigurasi layanan yang mendukung CMEK untuk menggunakan kunci Cloud HSM semudah memilih kunci dengan tingkat perlindungan HSM jika mengikuti petunjuk khusus layanan.

Saat pemanggil membaca atau menulis data ke layanan yang mendukung CMEK, pemanggil tidak memerlukan izin langsung untuk menggunakan kunci tersebut, dan pemanggil tidak perlu mengetahui apakah kunci disimpan di HSM.

Alur operasi CMEK yang sama digunakan dengan kunci yang dilindungi hardware dan kunci yang dilindungi software, dengan pengecualian berikut saat menggunakan kunci yang dilindungi hardware:

• Permintaan dari layanan yang mendukung CMEK dimulai dalam jaringan Google, dan tidak perlu melintasi GFE.
• Cloud Key Management Service API memverifikasi bahwa akun layanan untuk layanan yang mendukung CMEK memiliki izin yang sesuai untuk menggunakan kunci tersebut. Cloud Key Management Service API tidak memvalidasi izin pada pengguna akhir layanan yang mendukung CMEK.

Cloud HSM diperlukan jika Anda ingin menggunakan Autokey untuk menyediakan kunci Cloud KMS. Autokey memungkinkan agen layanan Cloud KMS menyediakan kunci yang dilindungi hardware secara otomatis berdasarkan permintaan. Untuk informasi selengkapnya, lihat Penyediaan otomatis untuk CMEK.

Menggunakan HSM Anda sendiri

HSM yang digunakan Cloud HSM dikelola oleh Google. Namun, dalam keadaan tertentu, organisasi Anda mungkin ingin menggunakan HSM Anda sendiri untuk menyimpan kunci yang dilindungi hardware untuk workload Anda. Misalnya, menggunakan HSM Anda sendiri dapat membantu Anda memigrasikan workload ke Google Cloud.

Hanya di lokasi tertentu, Google menawarkan infrastruktur HSM-as-a-service yang menyediakan operasi kunci kriptografi untuk transaksi kriptografi yang aman diGoogle Cloud. Produk ini dikenal sebagai Bare Metal Rack HSM dan Bare Metal HSM. Dengan Bare Metal Rack HSM atau Bare Metal HSM, Anda membeli dan mengonfigurasi HSM Anda sendiri, lalu mengirimkannya ke pusat data Google, sehingga dapat dihosting oleh Google. Anda mempertahankan akses logis penuh ke HSM dan harus bekerja secara langsung dengan vendor HSM untuk mengelola dan memecahkan masalah perangkat. Google menyediakan keamanan fisik dan jaringan, ruang rak, daya, dan integrasi jaringan dengan biaya. Untuk informasi selengkapnya, lihat Bare Metal Rack HSM dan Bare Metal HSM.

Langkah berikutnya

Untuk mempelajari lebih lanjut, pelajari referensi berikut:

• Dokumentasi Cloud HSM
• Dokumentasi Cloud KMS
• Enkripsi Cloud Key Management Service
• Ringkasan desain keamanan infrastruktur Google
• Enkripsi data dalam penyimpanan