Fitur keamanan untuk memori bukanlah hal baru, tetapi peningkatan konektivitas yang diperparah oleh lonjakan yang didorong oleh pandemi dalam pekerjaan jarak jauh berarti menjaga data lebih penting dan bahkan lebih menantang. Tantangan keamanan diperkuat dalam kasus penggunaan yang muncul di mana data dibagikan di seluruh infrastruktur komunikasi, termasuk 5G.
Sementara itu, mengaktifkan keamanan menambah kerumitan pada desain memori.
Bahkan sebelum pertumbuhan komputasi tepi yang meledak, Internet of things (IoT) dan mobil yang terhubung, fitur keamanan dalam memori berkembang biak. Memori baca-saja yang dapat dihapus secara elektrik (EEPROM) disukai untuk kartu kredit, kartu SIM, dan sistem entri tanpa kunci, sedangkan "S" dalam kartu SD berarti "aman", dan SSD berbasis flash telah menyertakan enkripsi selama bertahun-tahun.
Keamanan terus tertanam dalam memori dan perangkat jaringan yang didistribusikan ke seluruh sistem komputasi dan lingkungan jaringan. Namun kemampuan keamanan berbasis memori ini masih harus memperhitungkan kesalahan manusia. Profesional keamanan informasi harus menghadapi konsekuensi dari pengguna yang membuka lampiran palsu atau router yang salah dikonfigurasi.
Demikian pula, manfaat fitur memori aman tidak akan sepenuhnya terwujud kecuali jika dikonfigurasi dengan benar, dan selaras di seluruh sistem yang juga menyertakan perangkat lunak.
Dapat dikatakan bahwa SoC ganda — pusat operasi keamanan, dan sistem dalam chip — bergabung.
Blitz NOR Semper Secure Infineon berfungsi sebagai root-of-trust perangkat keras sekaligus melakukan diagnostik dan koreksi data untuk keamanan fungsional. (Sumber:Infineon)
Perusahaan seperti Rambus menawarkan produk yang ditujukan untuk mengamankan setiap koneksi sebagai respons terhadap peningkatan kebutuhan bandwidth konektivitas server di cloud dan edge computing. Sementara itu, Infineon Technologies telah memperluas memori flash Cypress Semiconductor Semper NOR untuk mencerminkan keniscayaan setiap sistem yang terhubung— dengan peretas yang merusak konten perangkat flash.
Gangguan itu dapat memengaruhi sejumlah platform komputasi yang berbeda, termasuk kendaraan otonom, yang pada dasarnya adalah server di atas roda. Tambahkan ke skenario industri, medis, dan IoT yang ditingkatkan oleh jaringan 5G. Keamanan tidak hanya perlu diintegrasikan, tetapi juga dikelola selama masa pakai banyak perangkat yang berbeda, beberapa di antaranya dapat bertahan satu dekade dengan memori tertanam. Aplikasi yang membutuhkan banyak memori tetap menjadi yang paling menarik bagi peretas.
Manajemen kunci enkripsi tetap penting untuk mengamankan sistem, kata analis Thomas Coughlin. Memanggang keamanan ke dalam sistem tertanam semakin penting karena teknologi memori non-volatil berkembang biak. Itu karena data tetap ada bahkan saat perangkat dimatikan.
Tantangannya bukanlah menambahkan fitur keamanan, kata Coughlin. Data pada SSD dapat dienkripsi, misalnya. “Masalah besarnya adalah apakah mudah bagi pengguna untuk menggunakan fitur ini karena biasanya tautan terlemah adalah tautan manusia.”
Ponsel cerdas berfungsi sebagai agen otentikasi, dengan biometrik menggantikan kata sandi tradisional. Skenario itu membuka kemungkinan bahwa data yang tidak terenkripsi dapat terekspos secara tidak sengaja. Coughlin mengatakan bahayanya terletak pada kelemahan atau kerumitan implementasi. “Membuat keamanan menjadi mudah adalah kuncinya, dan itu lebih dari sekadar mengenkripsi data dan memasukkannya ke dalam perangkat keras.”
Mengenkripsi SSD hanya sejauh ini, kata Scott Phillips, wakil presiden pemasaran untuk Virtium, vendor SSD dan memori. Diperlukan pendekatan berlapis-lapis dan terkelola. Meskipun spesifikasi penyimpanan seperti spesifikasi Opal dari Trusted Computing Group dapat mencapai level BIOS untuk autentikasi pra-booting, konfigurasi dan manajemen terpusat sangat penting untuk mencegah peretasan, kata Phillips.
“Bahkan perusahaan berukuran layak tidak memungkinkan banyak keamanan yang holistik dan canggih,” tambahnya.
Saat 5G meningkat, upaya sedang dilakukan untuk mengaktifkan perlindungan jalur data di seluruh pusat data dan di antaranya, tetapi tantangan tetap ada untuk mewujudkan manfaat keamanan berbasis perangkat keras.
Persyaratan integrasi
Di pasar industri, konsolidasi membutuhkan integrasi sistem yang berbeda. Sementara itu hyper-scaler seperti Amazon Web Services dan Microsoft Azure mempromosikan keamanan data, kata Phillips. Namun, pertahanan tersebut harus diterapkan sampai ke pengguna akhir.
Meskipun daftar standar dan persyaratan terus bertambah, masalah kompatibilitas tetap ada untuk metodologi keamanan. Vendor masih berusaha memposisikan diri sebagai pemimpin dalam produk dan layanan yang aman, kata Phillips.
“Peretas selalu selangkah lebih maju,” tambahnya. “Mereka tahu di mana semua celah kecil itu. Itu adalah hal-hal yang mereka periksa. Dibutuhkan orang atau departemen TI yang terpusat dan sangat teliti untuk melewati dan menutup semua celah tersebut.”
Gagasan untuk menanamkan keamanan ke dalam perangkat memori daripada memasangnya tidak berbeda dengan pendekatan perangkat lunak. “DevSecOps” adalah tentang menjadikan keamanan dan privasi sebagai bagian integral dari proses pengembangan aplikasi.
Kerangka kerja baru yang dijuluki "komputasi rahasia" dirancang untuk melindungi data yang digunakan dengan mengisolasi komputasi dalam lingkungan eksekusi tepercaya (TEE) berbasis perangkat keras. Data dienkripsi dalam memori, dan di tempat lain di luar CPU, saat sedang diproses.
Intel SGX memungkinkan terciptanya lingkungan eksekusi yang tepercaya. Area aman dari prosesor utama yang menjamin kode dan data yang dimuat di dalamnya dilindungi sehubungan dengan kerahasiaan dan integritas.
Komputasi rahasia sedang dipromosikan oleh vendor perangkat lunak dan perangkat keras, termasuk Google, yang baru-baru ini mengumumkan kemampuan untuk menerapkannya pada beban kerja kontainer, Intel juga mengaktifkan TEE untuk penyedia cloud seperti Microsoft Azure melalui Intel Software Guard Extensions.
Komputasi rahasia membutuhkan tanggung jawab bersama untuk keamanan. Simon Johnson, senior principal engineer untuk Intel’s Product Assurance and Security Architecture, mengatakan manusia tetap menjadi mata rantai terlemah.
Intel mendukung pengembang dalam mengeksekusi kode untuk mengamankan data, kata Johnson. Sementara itu, gerakan komputasi rahasia berasal dari persyaratan perusahaan untuk memproses data tanpa memperhatikan asal, termasuk informasi perawatan kesehatan yang sensitif, catatan keuangan, dan kekayaan intelektual.
Johnson mengatakan penyedia platform seharusnya tidak dapat melihat data. “Anda ingin menjauhkan sebanyak mungkin orang dari barang-barang Anda.”
Intel SGX menyertakan enkripsi memori berbasis perangkat keras yang mengisolasi kode aplikasi dan data tertentu dalam memori. Ini memungkinkan kode tingkat pengguna untuk mengalokasikan "enklave" memori pribadi, yang dirancang untuk diisolasi dari proses yang berjalan pada tingkat hak istimewa yang lebih tinggi. Hasilnya adalah kontrol dan perlindungan yang lebih terperinci untuk mencegah serangan seperti serangan cold boot terhadap memori di RAM.
Kerangka kerja Intel juga dirancang untuk membantu melindungi dari serangan berbasis perangkat lunak bahkan jika sistem operasi, driver, BIOS, atau manajer mesin virtual terganggu.
Komputasi rahasia akan memungkinkan beban kerja seperti analitik pada kumpulan data besar yang tidak dimiliki oleh pengguna. Ini juga memungkinkan eksekusi kunci enkripsi lebih dekat dengan beban kerja, meningkatkan latensi. “Saat ini kami benar-benar hanya memiliki perangkat lunak untuk memberikan perlindungan,” kata Johnson. “Kami tidak memiliki perlindungan perangkat keras di lingkungan semacam itu.”
Komputasi rahasia akan melindungi pemrosesan data atau kode, kata Johnson, melalui ekosistem perangkat keras dan perangkat lunak, yang diwakili oleh mandat Konsorsium Komputasi Rahasia.
Kemudahan penggunaan hampir selalu meningkatkan keamanan, catat Virtium's Phillips. Enkripsi memori tombol tekan adalah tujuannya, “sedangkan keamanan penuh akan datang dari fungsi tambahan selain itu,” tambahnya.
Idenya bukan hanya untuk mengenkripsi memori tetapi untuk menjamin isolasi data penuh untuk memastikan lingkungan yang aman, katanya. “Komputasi rahasia adalah cerita yang lebih luas daripada hanya mengenkripsi memori.”
Ini juga tentang mengakomodasi dunia yang heterogen. “Saat data digunakan, Anda harus menyediakan lapisan kontrol akses dan dapat menunjukkan bahwa Anda menggunakan perangkat lunak, dan data tersebut berada di area tertentu. Itu membangun semua hal ini menjadi sebuah tangga.”
>> Artikel ini awalnya diterbitkan pada situs saudara kami, EE Times.