KMIP Client

InfQNAP · Juni 6, 2026, 8:16am

Saya ingin membagikan pengalaman saya, siapa tahu bisa membantu orang lain yang mengalami situasi serupa.

Untuk memenuhi salah satu persyaratan saat audit keamanan, kami harus menginstal server KMS untuk menyimpan kunci enkripsi folder bersama di delapan server QNAP. Senang rasanya melihat versi terbaru QuTS sudah termasuk klien KMIP, tapi cukup disayangkan mereka belum menyertakan komponen server. Jadi, kami pun mempertimbangkan beberapa opsi seperti Thales, Entrust, atau Vault sebagai server KMS. Di menit-menit terakhir, kami menemukan kalau server Synology ternyata sudah termasuk server KMS. Meski kami sebenarnya bukan penggemar Synology, kami mempertimbangkan untuk membeli satu server Synology dan melakukan beberapa uji coba. Sebelumnya, kami konsultasi dengan QNAP maupun Synology, dan mereka bilang secara prinsip seharusnya bisa karena KMIP merupakan standar, tetapi tidak ada jaminan karena produsen bisa mengkustomisasi standar sesuai kebutuhan mereka. Mengingat harga solusi lain cukup tinggi, kami pun mencoba membeli NAS Synology, dan setelah beberapa minggu pengujian, saya bisa bilang hasilnya benar-benar memuaskan.

Jadi, sambil menunggu QNAP menambahkan komponen server (semoga dalam waktu dekat), kami akan terus menggunakan server Synology ini khusus untuk memenuhi tugas tersebut dan persyaratan audit keamanan.

Salam

dolbyman · Juni 6, 2026, 2:53pm

Kamu belum menyebutkan model NAS-mu

Tergantung modelnya, kenapa tidak coba pakai Docker saja?

InfQNAP · Juni 6, 2026, 4:37pm

Bagi kami, masalahnya bukan pada model NAS-nya; kami mencari server KMS yang kompatibel dengan protokol KMIP untuk menghubungkan klien QNAP KMIP dan menyimpan kunci enkripsi untuk folder bersama. Kami sudah mencobanya dengan beberapa model.

NA9D · Juni 7, 2026, 9:39pm

Saya rasa yang @dolbyman maksudkan adalah menjalankan server KMS di dalam container Docker. Kemampuan untuk melakukan itu, atau melakukannya dengan baik, tergantung pada model NAS yang kamu gunakan.

SamLin · Juni 8, 2026, 11:05am

Hai @InfQNAP,

Terima kasih telah meluangkan waktu untuk membagikan pengalaman deployment KMIP Anda.
Saya ingin memberikan sedikit konteks mengenai maksud desain QNAP di sini, karena pembagian “klien tanpa server” memang disengaja, bukan sebuah kelalaian.
Saat sebuah organisasi sampai pada tahap memerlukan KMIP, biasanya berarti kunci enkripsi di seluruh lingkungan perlu dikelola secara terpusat — bukan hanya di NAS saja. Umumnya, di lingkungan enterprise hal ini mencakup platform virtualisasi (VMware vSphere/vSAN VM dan enkripsi datastore, Hyper-V, Nutanix), storage array yang dapat mengenkripsi dirinya sendiri (self-encrypting), database TDE (Oracle, SQL Server), sistem backup (Veeam, Commvault), dan SED/tape library — sering kali di beberapa lokasi sekaligus. Karena KMS menjadi satu-satunya root of trust untuk semua itu, maka standar yang dibutuhkan jauh lebih tinggi dari perangkat yang dilayaninya: penyimpanan kunci yang didukung HSM, pemisahan tugas yang ketat, siklus hidup kunci yang dapat diaudit sepenuhnya, serta validasi modul kriptografi secara independen.

Karena alasan itu, posisi kami adalah perangkat penyimpanan sebaiknya berada di sisi klien KMIP — sebagai endpoint yang dikelola dan kuncinya diserahkan (escrow) ke otoritas tepercaya yang dapat diaudit — bukan bertindak sebagai KMS itu sendiri. Membiarkan satu perangkat menampung data produksi sekaligus menjadi otoritas kunci organisasi bertentangan dengan prinsip pemisahan tugas yang memang menjadi fokus audit keamanan.

Dalam prakteknya, maka kami menyarankan langkah berikut, secara berurutan:

Untuk deployment dengan kebutuhan audit: pasangkan klien KMIP QNAP dengan KMS tersertifikasi yang sudah mapan — misalnya Thales CipherTrust Manager, Entrust KeyControl, IBM Guardium Key Lifecycle Manager, atau HashiCorp Vault Enterprise (KMIP secrets engine). KMS ini memang dibuat khusus untuk memenuhi persyaratan modul kriptografi dan siklus hidup kunci yang diharapkan auditor, dan klien QNAP dirancang untuk interoperasi dengan server KMIP standar seperti ini.
Jika budget menjadi hambatan utama: server KMIP yang dihosting sendiri (self-hosted) di container pada host yang khusus, terkontrol, dan dapat diaudit adalah solusi yang masuk akal. Pilihan yang menerapkan KMIP antara lain HashiCorp Vault / OpenBao dengan KMIP engine, Cosmian KMS, atau PyKMIP untuk kebutuhan non-produksi/pengujian. Untuk keperluan audit, yang lebih penting adalah hostnya diperkuat, aksesnya dikontrol, dan menghasilkan jejak audit yang dibutuhkan oleh assessor Anda — bukan sekadar perangkat apa yang menjalankannya.

Ada satu perbedaan penting yang perlu dicatat bagi siapa pun di thread ini dengan kebutuhan audit ketat, karena tiga hal berikut sering dianggap sama:

Interoperabilitas — KMS dapat terhubung dan beroperasi melalui KMIP.
Validasi algoritma (NIST CAVP) — implementasi AES/SHA/RSA dari vendor diverifikasi sebagai benar.
Validasi modul kriptografi (NIST CMVP, FIPS 140-2/140-3) — modulnya sendiri, termasuk manajemen kunci dan batas keamanannya, memegang sertifikat validasi.

Auditor biasanya lebih peduli pada poin ketiga, yang merupakan standar tertinggi. Vendor yang hanya memiliki validasi algoritma CAVP, atau modul yang sekadar terdaftar sebagai “Implementation Under Test,” tidaklah sama dengan memegang sertifikat modul CMVP aktif yang benar-benar mencakup komponen manajemen kunci yang Anda andalkan. Apapun KMS yang Anda pilih, ada baiknya periksa langsung statusnya di daftar modul tervalidasi NIST CMVP dan konfirmasi cakupan sertifikatnya ke assessor Anda.

Sekali lagi terima kasih atas saran dan laporan detailnya — kami akan membawa kebutuhan jalur KMS berbiaya rendah yang bisa diterima auditor untuk lingkungan QNAP ke diskusi internal. Sementara ini, opsi certified-KMS atau container yang diperkuat di atas seharusnya bisa menjaga otoritas kunci Anda tetap memenuhi standar audit yang ketat.