【51CTO.com快譯】谷歌終于決定為管理員提供在谷歌Cloud Platform(簡稱GCP)上管理自有加密密鑰的能力，而具體服務正是云密鑰管理服務(簡稱KMS)。谷歌方面亦是三大主要云供應商中***一家提供此類密鑰管理服務的廠商——Amazon與微軟此次已經推出這類方案。

　　目前尚處于beta測試階段的Cloud KMS能幫助管理員管理企業內的加密密鑰，且無需額外維護內部密鑰管理系統或者部署硬件安全模塊。利用Cloud KMS，管理員能夠管理企業中的全部加密密鑰，而不僅限于GCP內用于保護數據的密鑰。

　　管理員能夠通過Cloud KMS API創建、使用、輪換及銷毀AES-256對稱加密密鑰。一條密鑰的多個版本可隨意用于進行加密，但其中只有一套主密鑰版本可用于對新數據進行加密。輪換計劃可進行定義，從而自動通過固定時間周期生成新的密鑰版本。其中還內置有24小時的密鑰銷毀延遲，這是為了避免嘗試銷毀密鑰時造成意外或者不良影響。Cloud KMS可與GCP的云身份訪問管理與云審計日志記錄服務相結合，管理員可借此管理個人密鑰權限并監控其使用情況。

　　Cloud KMS還提供一個REST API，允許在Galois/Counter模式下進行AES-256加密或解密，其使用谷歌云存儲內用于數據加密的同一套加密庫。AES GCM由谷歌維護的BoringSSL庫實現，且該公司仍在利用多種工具對這套加密庫的薄弱環節進行檢查，“包括與近期Wycheproof項目中所使用的開源加密測試工具類似的各類工具，”谷歌公司產品經理Maya Kaczorowski在谷歌Cloud Platform的博客中指出。

　　相較于AWS與微軟Azure，GCP在加密方面一直表現得比較滯后。Amazon早在2014年6月就為其S3服務提供了客戶提供加密密鑰(簡稱CSEK)選項，并于當年晚些時候推出了AWS密鑰管理服務。微軟于2015年1月通過Key Vault添加了CSEK功能。谷歌的CSEK支持出現于2015年6月，而且直到現在才推出Cloud KMS。

　　谷歌云存儲服務默認對服務器端數據進行加密，而管理員必須專門選擇“云密鑰管理服務”以管理該云服務中的密鑰，或者使用“客戶提供加密密鑰”管理內部密鑰。CSEK亦可與谷歌Compute Engine配合使用。

　　Kaczorowski表示，來自金融服務及醫療衛生等行業的客戶能夠充分享受托管密鑰管理服務帶來的便利。然而，管理員應當考慮到如果政府下達法律命令強迫谷歌提供密鑰信息，那么這種便捷性是否會給敏感信息造成威脅——因為根據現有政策，谷歌必須配合政府執法并允許其訪問所有服務管理密鑰。

　　另外，企業還應考慮谷歌方面是否會從歐洲區域內收集個人信息。歐洲一般性數據保護監管要求適用于歐洲區域內的個人數據，無論其存儲在全球哪個位置，且監管機構建議客戶不要使用由云供應商提供的加密密鑰。如果該密鑰由客戶方安全持有，則云供應商只能負責維持數據的訪問與可用性。使用GCP及Cloud KMS有可能(也有可能不)與歐洲監管機構要求產生沖突。

　　云加密廠商CipherCloud公司創始人、董事長兼CEO Pravin Kothari表示，“加密機制只在將加密數據與密鑰分別存儲時才會生效。如果使用同一家供應商，無論是AWS或者谷歌，那么密鑰與數據共存的情況都會給很多企業造成合規性與安全性挑戰。”

　　原文標題：Google Cloud Platform finally offers key management service

　　原文作者：Fahmida Y. Rashid

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】

 　　了解更多熱點新聞，請關注51CTO《科技新聞早報》欄目!