【51CTO.com快譯】谷歌終于決定為管理員提供在谷歌Cloud Platform(簡稱GCP)上管理自有加密密鑰的能力，而具體服務(wù)正是云密鑰管理服務(wù)(簡稱KMS)。谷歌方面亦是三大主要云供應(yīng)商中***一家提供此類密鑰管理服務(wù)的廠商——Amazon與微軟此次已經(jīng)推出這類方案。

　　目前尚處于beta測試階段的Cloud KMS能幫助管理員管理企業(yè)內(nèi)的加密密鑰，且無需額外維護內(nèi)部密鑰管理系統(tǒng)或者部署硬件安全模塊。利用Cloud KMS，管理員能夠管理企業(yè)中的全部加密密鑰，而不僅限于GCP內(nèi)用于保護數(shù)據(jù)的密鑰。

　　管理員能夠通過Cloud KMS API創(chuàng)建、使用、輪換及銷毀AES-256對稱加密密鑰。一條密鑰的多個版本可隨意用于進行加密，但其中只有一套主密鑰版本可用于對新數(shù)據(jù)進行加密。輪換計劃可進行定義，從而自動通過固定時間周期生成新的密鑰版本。其中還內(nèi)置有24小時的密鑰銷毀延遲，這是為了避免嘗試銷毀密鑰時造成意外或者不良影響。Cloud KMS可與GCP的云身份訪問管理與云審計日志記錄服務(wù)相結(jié)合，管理員可借此管理個人密鑰權(quán)限并監(jiān)控其使用情況。

　　Cloud KMS還提供一個REST API，允許在Galois/Counter模式下進行AES-256加密或解密，其使用谷歌云存儲內(nèi)用于數(shù)據(jù)加密的同一套加密庫。AES GCM由谷歌維護的BoringSSL庫實現(xiàn)，且該公司仍在利用多種工具對這套加密庫的薄弱環(huán)節(jié)進行檢查，“包括與近期Wycheproof項目中所使用的開源加密測試工具類似的各類工具，”谷歌公司產(chǎn)品經(jīng)理Maya Kaczorowski在谷歌Cloud Platform的博客中指出。

　　相較于AWS與微軟Azure，GCP在加密方面一直表現(xiàn)得比較滯后。Amazon早在2014年6月就為其S3服務(wù)提供了客戶提供加密密鑰(簡稱CSEK)選項，并于當年晚些時候推出了AWS密鑰管理服務(wù)。微軟于2015年1月通過Key Vault添加了CSEK功能。谷歌的CSEK支持出現(xiàn)于2015年6月，而且直到現(xiàn)在才推出Cloud KMS。

　　谷歌云存儲服務(wù)默認對服務(wù)器端數(shù)據(jù)進行加密，而管理員必須專門選擇“云密鑰管理服務(wù)”以管理該云服務(wù)中的密鑰，或者使用“客戶提供加密密鑰”管理內(nèi)部密鑰。CSEK亦可與谷歌Compute Engine配合使用。

　　Kaczorowski表示，來自金融服務(wù)及醫(yī)療衛(wèi)生等行業(yè)的客戶能夠充分享受托管密鑰管理服務(wù)帶來的便利。然而，管理員應(yīng)當考慮到如果政府下達法律命令強迫谷歌提供密鑰信息，那么這種便捷性是否會給敏感信息造成威脅——因為根據(jù)現(xiàn)有政策，谷歌必須配合政府執(zhí)法并允許其訪問所有服務(wù)管理密鑰。

　　另外，企業(yè)還應(yīng)考慮谷歌方面是否會從歐洲區(qū)域內(nèi)收集個人信息。歐洲一般性數(shù)據(jù)保護監(jiān)管要求適用于歐洲區(qū)域內(nèi)的個人數(shù)據(jù)，無論其存儲在全球哪個位置，且監(jiān)管機構(gòu)建議客戶不要使用由云供應(yīng)商提供的加密密鑰。如果該密鑰由客戶方安全持有，則云供應(yīng)商只能負責維持數(shù)據(jù)的訪問與可用性。使用GCP及Cloud KMS有可能(也有可能不)與歐洲監(jiān)管機構(gòu)要求產(chǎn)生沖突。

　　云加密廠商CipherCloud公司創(chuàng)始人、董事長兼CEO Pravin Kothari表示，“加密機制只在將加密數(shù)據(jù)與密鑰分別存儲時才會生效。如果使用同一家供應(yīng)商，無論是AWS或者谷歌，那么密鑰與數(shù)據(jù)共存的情況都會給很多企業(yè)造成合規(guī)性與安全性挑戰(zhàn)。”

　　原文標題：Google Cloud Platform finally offers key management service

　　原文作者：Fahmida Y. Rashid

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】

 　　了解更多熱點新聞，請關(guān)注51CTO《科技新聞早報》欄目!