Google Cloud 讓企業更放心 資料加密金鑰可存放在外部位置

要是你不放心把資料加密金鑰交給 Google，Google 新服務或許可讓你安心一點。

Google 周三在英國舉行的 Next UK 大會上宣佈二項安全控制功能。為讓企業對加密資料有更大的控制權，Google 針對 Google Compute Engine 虛擬機器及其 BigQuery 雲端資料倉儲服務推出外部金鑰管理員（External Key Manager）的服務，讓企業把金鑰儲存在 Google Cloud 以外的地方。

在此之前，企業用戶必須把加密資料儲存在 Google Cloud 的 Cloud KMS 中儲存。

Google Cloud 指出，原本 Google Cloud Platform 的所有靜態資料都會預設加密，客戶什麼事都不必做，但是仍然有客戶表示，有些加密想自己管理。

顧名思義，外部金鑰管理員讓企業客戶可將加密金鑰完全儲存在 Google 基礎架構之外。這項方案的外部合作夥伴包括 Equinix、Fortanix、Ionic、Thales 及 Unbound。

第二項新宣佈是名為 Key Access Justifications。這項功能需配合外部金鑰管理員使用，每次 Google 向用戶要求金鑰來解密資料都必須提供詳細理由。客戶可以設定自動化政策來許可或否決 Google 的要求。Key Access Justifications 是用於控管 BigQuery 和 Compute Engine 中的靜止資料移到使用狀態，兩項功能可防止 Google 擅自解密資料。

外部金鑰管理員即將釋出 Beta 版，而 Key Access Justifications 則釋出 Alpha 版本。

這二項新控制服務是繼去年 Google 推出以硬體產生及儲存加密金鑰的硬體安全模組（Hardware Security Module, HSM）後，最新一項想爭取客戶信任的新方案。一般認為，Google 希望藉由滿足歐盟資料保護及隱私法令，擴大爭取歐洲企業及政府的信任。

來源：ZDNet