Компания Google объявила о всеобщей доступности опции, которая позволит клиентам облачных сервисов компании использовать собственные ключи для шифрования хранящихся в облаке конфиденциальных данных.
Впервые Google представила бета-версию программы Customer-Supplied Encryption Keys (CSEK, ключи шифрования, предоставленные клиентом) для облака Compute Engine в прошлом году. Этот инструмент позволяет предприятиям защищать свои данные, используя ключи шифрования, которыми Google не владеет и которыми не управляет. Компания утверждает, что ключи запрашиваются и хранятся лишь в течение определенного промежутка времени, необходимого для выполнения таких задач, как запуск виртуальной машины или подключение диска.
«Благодаря CSEK неиспользуемые диски находятся под защитой собственных ключей пользователей, и к ним никто не сможет получить доступ — ни внутри, ни за пределами Google, если только не предоставит этот ключ», — написали в блоге компании Cloud Platform Blog менеджеры продуктов Google Майя Качоровски и Эрик Бана.
В настоящее время в облачной платформе Google по умолчанию шифруются все данные клиентов, хранящиеся на облачных серверах, при этом клиентам ничего не нужно специально делать для активации этой процедуры.
Если корпоративный клиент предоставит свой собственный ключ шифрования, Google с помощью этого ключа защитит генерируемые ею ключи, используемые для шифрования и расшифровки данных — таково официальное описание принципа работы CSEK. В Google уточняют, что все ключи пользователей должны представлять собой
Предоставленные клиентами ключи никогда не будут храниться на серверах Google. Это, по сути, гарантирует, что Google не сможет получить доступ к защищенным данным. «Это также означает, что, если вы забудете или потеряете ключ, у Google не будет никакой возможности восстановить его а также зашифрованные с его помощью данные», — предупреждает компания.
Управление ключами — важная проблема для организаций, планирующих перенос конфиденциальных данных в облако. Хотя сегодня многие облачные провайдеры шифруют данные клиентов, то, что у них также имеется ключ для дешифрации, очень беспокоит многие организации, особенно в свете обнародованной Эдвардом Сноуденом информации о том, что у правительства США есть доступ к данным, хранящимся в облаках.
Пользовательские ключи шифрования устранят эту проблему и позволят компаниям лучше контролировать свои данные в облаке. Однако они также породят для компаний трудности другого рода при работе с ключами.
Объявив о всеобщей доступности CSEK, Google присоединилась к растущей когорте провайдеров облачных сервисов, предоставляющих корпоративным клиентам возможность использовать собственные ключи для защиты данных, хранящихся в облаке. Некоторые компании, например, Amazon, уже довольно давно предлагают клиентам такую опцию, тогда как другие, вроде Box с их сервисом Full Encryption Key Control, совсем недавно предоставили своим клиентам такую возможность.
Как и в случае CKEM от Google, компания Box предоставляет клиентам эксклюзивный контроль за ключами и предлагает так называемый неизменяемый журнал ревизий, в который записываются все случаи использования ключей и в который сама Box не имеет возможности вносить какие-либо изменения.
Опция CKEM в данный момент доступна в Соединенных Штатах и семи других странах, включая Канаду, Данию, Францию, Германию и Соединенное Королевство. Позже в этом месяце ее также активируют в Австралии, Норвегии, Мексике и Италии.