Google предлагает варианты управления ключом нового ключа для облачных клиентов

Google-управляемые ключи шифрования позволяют пользователям Cloud Platform лучше контролировать шифрование данных без соответствующих накладных расходов, говорится в сообщении компании.

У бизнес-клиентов облачной платформы Google теперь есть еще один вариант защиты данных на дисках, изображениях и резервных ресурсах в облаке.

22 июня компания объявила о доступности бета-версии ключа шифрования (CMEK), управляемого клиентом, который направлен на предоставление предприятиям большего контроля за шифрованием по умолчанию, которое Google использует для защиты данных в покое в облаке.

С помощью опции CMEK компании могут использовать службу управления облачными ключами Google (KMS) для создания и управления ключами для защиты ключей, которые Google использует для шифрования своих данных.

Так называемые «ключи ключа шифрования», которые организации могут создавать с помощью KMS, не могут использоваться для прямого шифрования или дешифрования данных в облачной инфраструктуре Google. Вместо этого они предназначены для защиты ключей шифрования, которые Google уже использовал для шифрования данных.

Идея состоит в том, чтобы дать предприятиям возможность гарантировать, что никто, включая сотрудников Google, не сможет получить доступ к зашифрованным данным в облаке Google без дополнительного ключа.

«Эти ключи шифрования, управляемые клиентами (CMEK), обеспечивают вам подробный контроль над тем, какие диски, изображения и моментальные снимки будут зашифрованы», — сказал менеджер Google продуктов Sirui Sun в блоге, объявив о доступности бета-версии этой функции.

CMEK является одним из двух вариантов, которые Google предлагает для создания ключевых ключей шифрования на своей облачной платформе. Другой вариант — это тот, который компания когда-то предлагала и называется клиентскими ключами шифрования (CSEK).

Опция CSEK предназначена для организаций, которым нужен самый высокий уровень контроля по шифрованию, используемому для защиты своих данных. С CSEK предприятия полностью создают и управляют своими ключевыми ключами шифрования. Предприятия хранят ключи шифрования в своих собственных помещениях и несут ответственность за их управление.

С другой стороны, с новым CMEK ключи ключа шифрования хранятся в одной центральной службе управления облачными ключами. В соответствии с Google, этот вариант предоставляет организациям способ управлять шифрованием таким же образом, как и при условии. Он предоставляет предприятию корень доверия над своими данными, которые можно контролировать.

Благодаря новой опции ключей шифрования, управляемой клиентами, служба управления ключами Google также автоматически распознает ключи, назначенные определенным зашифрованным ресурсам. С CSEK предприятия отвечают за указание ключей, предоставленных клиентом, которые назначаются каждому ресурсу.

Солнце говорит, что функция CMEK расширяет диапазон возможностей управления шифрованием, доступных с облаком Google. На одном конце спектра по умолчанию используется шифрование данных в состоянии покоя, Google предлагает всем клиентам.

С помощью этой опции все данные на дисках автоматически зашифровываются, а Google управляет ключами для клиентов. Опция CSEK представляет собой другой конец спектра и предназначена специально для организаций, которые должны отвечать и демонстрировать приверженность конкретным мандатам по защите данных.

Клиентский вариант управления ключами, объявленный Google на этой неделе, находится в середине спектра. Он нацелен на организации, которые хотят больше контролировать шифрование, используемое для защиты своих данных, но не хотят иметь дело с связанной работой, сказал Сун.