谷歌本周宣布了该选项的普遍可用性,该选项允许其云服务的客户使用自己的密钥对在线存储的敏感数据进行加密。Google于去年首次以测试版形式推出了其针对ComputeEngine的客户提供的加密密钥(CSEK)。该功能基本上使企业可以使用非Google拥有或管理的加密密钥来保护其数据。该公司声称,它将仅临时需要并按住客户密钥来满足诸如启动虚拟机或连接磁盘之类的请求。
“随着CSEK,在休息盘用自己的密钥无法被任何人访问保护,内部或谷歌之外,除非他们出示您的钥匙,”谷歌产品经理玛雅Kaczorowski和EricBahna对公司的写道云平台博客。
当前,Google的云平台默认情况下会加密存储在其服务器上的所有客户数据,而客户无需采取任何措施即可启动该流程。
根据CSEK工作原理的官方描述,当企业提供自己的加密密钥时,Google将使用该密钥来保护Google生成的用于加密和解密数据的密钥。根据Google的说法,客户提供的任何密钥都必须是RFC4648标准编码的256位字符串。
客户提供的密钥永远不会存储在Google的服务器上,从而有效地确保Google无法访问受保护的数据。该公司警告说:“这也意味着,如果您忘记或丢失了密钥,Google将无法恢复密钥或恢复使用丢失的密钥加密的任何数据。”
对于希望将敏感数据移至云的组织而言,密钥管理是一个大问题。尽管如今有许多云供应商在休息时对客户数据进行加密,但事实证明它们还拥有解密密钥对许多组织来说都是一个问题,尤其是在爱德华·斯诺登(EdwardSnowden)关于美国政府对云托管数据的访问权泄露之后。
客户提供的加密密钥通过为企业提供对云中数据的更直接控制,从而消除了该问题。但这也可能给企业带来与密钥管理有关的单独问题。
通过在本周宣布CSEK的全面上市,谷歌加入了越来越多的云服务提供商,使企业可以选择使用自己的密钥来保护云托管数据。某些公司(例如Amazon)已经为客户提供了很长一段时间的选择权,而另一些公司(例如具有完全加密密钥控制服务的Box)相对较新地向客户提供了该功能。
与Google的CSEK一样,Box为客户提供专有的密钥控制,并提供其描述为不可更改的审核日志,以记录Box永远不会更改或篡改的所有密钥用法。
CSEK目前可在美国和其他七个国家(包括加拿大,丹麦,法国,德国和英国)使用。它计划于本月下旬推广到澳大利亚,挪威,墨西哥和意大利。
免责声明:本文由用户上传,如有侵权请联系删除!
