谷歌終于決定為管理員提供在谷歌Cloud Platform(簡稱GCP)上管理自有加密密鑰的能力,而具體服務正是云密鑰管理服務(簡稱KMS)。谷歌方面亦是三大主要云供應商中最后一家提供此類密鑰管理服務的廠商——Amazon與微軟此次已經推出這類方案。
目前尚處于beta測試階段的Cloud KMS能幫助管理員管理企業(yè)內的加密密鑰,且無需額外維護內部密鑰管理系統(tǒng)或者部署硬件安全模塊。利用Cloud KMS,管理員能夠管理企業(yè)中的全部加密密鑰,而不僅限于GCP內用于保護數(shù)據(jù)的密鑰。
管理員能夠通過Cloud KMS API創(chuàng)建、使用、輪換及銷毀AES-256對稱加密密鑰。一條密鑰的多個版本可隨意用于進行加密,但其中只有一套主密鑰版本可用于對新數(shù)據(jù)進行加密。輪換計劃可進行定義,從而自動通過固定時間周期生成新的密鑰版本。其中還內置有24小時的密鑰銷毀延遲,這是為了避免嘗試銷毀密鑰時造成意外或者不良影響。Cloud KMS可與GCP的云身份訪問管理與云審計日志記錄服務相結合,管理員可借此管理個人密鑰權限并監(jiān)控其使用情況。
Cloud KMS還提供一個REST API,允許在Galois/Counter模式下進行AES-256加密或解密,其使用谷歌云存儲內用于數(shù)據(jù)加密的同一套加密庫。AES GCM由谷歌維護的BoringSSL庫實現(xiàn),且該公司仍在利用多種工具對這套加密庫的薄弱環(huán)節(jié)進行檢查,“包括與近期Wycheproof項目中所使用的開源加密測試工具類似的各類工具,”谷歌公司產品經理Maya Kaczorowski在谷歌Cloud Platform的博客中指出。
相較于AWS與微軟Azure,GCP在加密方面一直表現(xiàn)得比較滯后。Amazon早在2014年6月就為其S3服務提供了客戶提供加密密鑰(簡稱CSEK)選項,并于當年晚些時候推出了AWS密鑰管理服務。微軟于2015年1月通過Key Vault添加了CSEK功能。谷歌的CSEK支持出現(xiàn)于2015年6月,而且直到現(xiàn)在才推出Cloud KMS。
谷歌云存儲服務默認對服務器端數(shù)據(jù)進行加密,而管理員必須專門選擇“云密鑰管理服務”以管理該云服務中的密鑰,或者使用“客戶提供加密密鑰”管理內部密鑰。CSEK亦可與谷歌Compute Engine配合使用。
Kaczorowski表示,來自金融服務及醫(yī)療衛(wèi)生等行業(yè)的客戶能夠充分享受托管密鑰管理服務帶來的便利。然而,管理員應當考慮到如果政府下達法律命令強迫谷歌提供密鑰信息,那么這種便捷性是否會給敏感信息造成威脅——因為根據(jù)現(xiàn)有政策,谷歌必須配合政府執(zhí)法并允許其訪問所有服務管理密鑰。
另外,企業(yè)還應考慮谷歌方面是否會從歐洲區(qū)域內收集個人信息。歐洲一般性數(shù)據(jù)保護監(jiān)管要求適用于歐洲區(qū)域內的個人數(shù)據(jù),無論其存儲在全球哪個位置,且監(jiān)管機構建議客戶不要使用由云供應商提供的加密密鑰。如果該密鑰由客戶方安全持有,則云供應商只能負責維持數(shù)據(jù)的訪問與可用性。使用GCP及Cloud KMS有可能(也有可能不)與歐洲監(jiān)管機構要求產生沖突。
云加密廠商CipherCloud公司創(chuàng)始人、董事長兼CEO Pravin Kothari表示,“加密機制只在將加密數(shù)據(jù)與密鑰分別存儲時才會生效。如果使用同一家供應商,無論是AWS或者谷歌,那么密鑰與數(shù)據(jù)共存的情況都會給很多企業(yè)造成合規(guī)性與安全性挑戰(zhàn)。”
原文標題:Google Cloud Platform finally offers key management service
原文作者:Fahmida Y. Rashid
京公網安備 11010502049343號