無須部署硬件安全模塊,谷歌GCP終于迎來云密鑰管理服務(wù)
譯文【51CTO.com快譯】谷歌終于決定為管理員提供在谷歌Cloud Platform(簡稱GCP)上管理自有加密密鑰的能力,而具體服務(wù)正是云密鑰管理服務(wù)(簡稱KMS)。谷歌方面亦是三大主要云供應(yīng)商中***一家提供此類密鑰管理服務(wù)的廠商——Amazon與微軟此次已經(jīng)推出這類方案。
目前尚處于beta測試階段的Cloud KMS能幫助管理員管理企業(yè)內(nèi)的加密密鑰,且無需額外維護(hù)內(nèi)部密鑰管理系統(tǒng)或者部署硬件安全模塊。利用Cloud KMS,管理員能夠管理企業(yè)中的全部加密密鑰,而不僅限于GCP內(nèi)用于保護(hù)數(shù)據(jù)的密鑰。
管理員能夠通過Cloud KMS API創(chuàng)建、使用、輪換及銷毀AES-256對稱加密密鑰。一條密鑰的多個版本可隨意用于進(jìn)行加密,但其中只有一套主密鑰版本可用于對新數(shù)據(jù)進(jìn)行加密。輪換計劃可進(jìn)行定義,從而自動通過固定時間周期生成新的密鑰版本。其中還內(nèi)置有24小時的密鑰銷毀延遲,這是為了避免嘗試銷毀密鑰時造成意外或者不良影響。Cloud KMS可與GCP的云身份訪問管理與云審計日志記錄服務(wù)相結(jié)合,管理員可借此管理個人密鑰權(quán)限并監(jiān)控其使用情況。
Cloud KMS還提供一個REST API,允許在Galois/Counter模式下進(jìn)行AES-256加密或解密,其使用谷歌云存儲內(nèi)用于數(shù)據(jù)加密的同一套加密庫。AES GCM由谷歌維護(hù)的BoringSSL庫實現(xiàn),且該公司仍在利用多種工具對這套加密庫的薄弱環(huán)節(jié)進(jìn)行檢查,“包括與近期Wycheproof項目中所使用的開源加密測試工具類似的各類工具,”谷歌公司產(chǎn)品經(jīng)理Maya Kaczorowski在谷歌Cloud Platform的博客中指出。
相較于AWS與微軟Azure,GCP在加密方面一直表現(xiàn)得比較滯后。Amazon早在2014年6月就為其S3服務(wù)提供了客戶提供加密密鑰(簡稱CSEK)選項,并于當(dāng)年晚些時候推出了AWS密鑰管理服務(wù)。微軟于2015年1月通過Key Vault添加了CSEK功能。谷歌的CSEK支持出現(xiàn)于2015年6月,而且直到現(xiàn)在才推出Cloud KMS。
谷歌云存儲服務(wù)默認(rèn)對服務(wù)器端數(shù)據(jù)進(jìn)行加密,而管理員必須專門選擇“云密鑰管理服務(wù)”以管理該云服務(wù)中的密鑰,或者使用“客戶提供加密密鑰”管理內(nèi)部密鑰。CSEK亦可與谷歌Compute Engine配合使用。
Kaczorowski表示,來自金融服務(wù)及醫(yī)療衛(wèi)生等行業(yè)的客戶能夠充分享受托管密鑰管理服務(wù)帶來的便利。然而,管理員應(yīng)當(dāng)考慮到如果政府下達(dá)法律命令強迫谷歌提供密鑰信息,那么這種便捷性是否會給敏感信息造成威脅——因為根據(jù)現(xiàn)有政策,谷歌必須配合政府執(zhí)法并允許其訪問所有服務(wù)管理密鑰。
另外,企業(yè)還應(yīng)考慮谷歌方面是否會從歐洲區(qū)域內(nèi)收集個人信息。歐洲一般性數(shù)據(jù)保護(hù)監(jiān)管要求適用于歐洲區(qū)域內(nèi)的個人數(shù)據(jù),無論其存儲在全球哪個位置,且監(jiān)管機構(gòu)建議客戶不要使用由云供應(yīng)商提供的加密密鑰。如果該密鑰由客戶方安全持有,則云供應(yīng)商只能負(fù)責(zé)維持?jǐn)?shù)據(jù)的訪問與可用性。使用GCP及Cloud KMS有可能(也有可能不)與歐洲監(jiān)管機構(gòu)要求產(chǎn)生沖突。
云加密廠商CipherCloud公司創(chuàng)始人、董事長兼CEO Pravin Kothari表示,“加密機制只在將加密數(shù)據(jù)與密鑰分別存儲時才會生效。如果使用同一家供應(yīng)商,無論是AWS或者谷歌,那么密鑰與數(shù)據(jù)共存的情況都會給很多企業(yè)造成合規(guī)性與安全性挑戰(zhàn)。”
原文標(biāo)題:Google Cloud Platform finally offers key management service
原文作者:Fahmida Y. Rashid
【51CTO譯稿,合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】
了解更多熱點新聞,請關(guān)注51CTO《科技新聞早報》欄目!