Google Cloud Key Management Service (KMS)
Google Cloud Key Management Service (KMS) adalah layanan cloud untuk mengelola kunci enkripsi bagi layanan cloud Google lainnya yang dapat digunakan oleh perusahaan untuk menerapkan fungsi kriptografi.
Dirilis pada Januari 2017, layanan ini memungkinkan pengguna untuk membuat, menggunakan, memutar, dan menghancurkan kunci enkripsi Advanced Encryption Standard (AES)-256 guna melindungi data cloud. Google Cloud KMS juga dapat digunakan untuk mengelola kunci yang digunakan dalam enkripsi jenis data lainnya bagi perusahaan, seperti token API dan kredensial pengguna. Tim keamanan yang menggunakan Google Cloud KMS dapat mengatur rotasi kunci enkripsi secara otomatis pada interval waktu tertentu.
Google Cloud KMS adalah bagian dari rangkaian layanan Google Cloud Platform (GCP) yang memungkinkan pelanggan untuk mengelola kunci enkripsi mereka untuk data yang disimpan di GCP. Administrator juga dapat menggunakan Google Cloud KMS untuk melakukan enkripsi data dalam jumlah besar sebelum disimpan. Industri utama yang menjadi target Google dengan layanan ini adalah sektor yang memiliki regulasi ketat terkait penyimpanan dan keamanan data sensitif, seperti layanan keuangan dan penyedia layanan kesehatan.
Cara Kerja Google Cloud KMS
Cloud KMS menyimpan kunci enkripsi AES-256 dalam hierarki lima tingkat. Tingkat tertinggi, yang disebut Proyek GCP (GCP Project), mengelola peran Identity and Access Management (IAM) untuk akun yang terkait dengan proyek cloud tertentu, yang dapat dikaitkan dengan organisasi atau departemen dalam perusahaan. Organisasi dapat menyimpan lokasi geografis pusat data yang menangani permintaan ke sumber daya Cloud KMS pada tingkat Proyek.
Tingkat berikutnya adalah Lokasi (Location), tempat penyimpanan kunci enkripsi untuk grup dalam proyek tertentu berdasarkan lokasi geografis, seperti “timur”, “barat”, atau “global” agar semua lokasi yang terkait dengan proyek dapat mengakses data.
Selanjutnya adalah KeyRing, yang menampung kelompok CryptoKeys. Setiap KeyRing milik suatu Proyek dan berada di lokasi tertentu. KeyRing menentukan izin akses untuk CryptoKeys yang dimilikinya, sehingga CryptoKeys dengan tingkat izin yang sama dapat dikelompokkan bersama. CryptoKey adalah kunci kriptografi dengan tujuan spesifik. CryptoKeys dapat berubah seiring perubahan enkripsi, sehingga diperkenalkan tingkat terakhir, yaitu CryptoKeyVersion, yang merepresentasikan versi berbeda dari sebuah CryptoKey.
Google menyediakan REST API sebagai bagian dari Google Cloud KMS, memungkinkan pengembang untuk mengakses fungsi KMS guna membuat, menghapus, dan memperbarui kunci enkripsi. Layanan ini juga membantu perusahaan yang mengelola banyak kunci enkripsi serta mengakomodasi perubahan personel dalam organisasi. Selain itu, API ini dapat digunakan untuk mengenkripsi dan mendekripsi data dengan kunci tertentu serta mengatur dan menguji kebijakan IAM. Ada jeda waktu 24 jam sebelum penghancuran kunci enkripsi, dan pengguna memiliki opsi untuk memulihkan versi kunci sebelumnya.
Integrasi dengan Layanan Cloud Google
Cloud KMS terintegrasi dengan beberapa layanan cloud Google lainnya, seperti Cloud Identity and Access Management, yang menangani otentikasi kunci enkripsi. Kombinasi layanan ini memungkinkan pengelolaan izin keamanan dan kebijakan yang mengontrol akses ke KeyRings serta enkripsi data.
Opsi rotasi kunci yang dapat dilakukan secara otomatis maupun manual memungkinkan pengguna untuk menerapkan jadwal yang telah ditetapkan atau memilih kapan kunci enkripsi harus diperbarui. Hal ini dapat dilakukan melalui API atau antarmuka baris perintah (CLI).
Google Cloud KMS mendukung jutaan kunci enkripsi dengan jumlah versi kunci yang tidak terbatas. Layanan ini dapat digunakan sebagai sistem terdistribusi atau dalam satu pusat data cloud geografis.
Layanan manajemen kunci enkripsi dari Google ini diperkenalkan setelah Amazon Web Services (AWS) dan Microsoft Azure meluncurkan layanan serupa.