יצירת שירות למפתחות הצפנה בהתאמה אישית להצפנה מצד הלקוח

תוכלו להשתמש במפתחות הצפנה משלכם כדי להצפין את הנתונים של הארגון, במקום להשתמש בהצפנה ש-Google Workspace מספקת. בהצפנה מצד הלקוח (CSE) ב-Google Workspace, הצפנת הקבצים מטופלת בדפדפן של הלקוח לפני שהוא מאוחסן באחסון מבוסס-ענן ב-Drive. כך, לשרתי Google אין גישה למפתחות ההצפנה, וכתוצאה מכך הם לא יכולים לפענח אותם לנתונים שלכם. פרטים נוספים זמינים במאמר מידע על הצפנה מצד הלקוח

ה-API הזה מאפשר לך לשלוט במפתחות ההצפנה ברמה העליונה שמגינים על הנתונים שלך באמצעות שירות חיצוני למפתחות הצפנה בהתאמה אישית. אחרי שיוצרים שירות חיצוני למפתחות הצפנה באמצעות ה-API הזה, אדמינים ב-Google Workspace יכולים להתחבר אליו ולהפעיל את ההצפנה מצד הלקוח למשתמשים שלהם.

מונחים חשובים

בטבלה הבאה ריכזנו רשימה של המונחים הנפוצים ב-Google Workspace להצפנה מצד הלקוח (CSEK):

הצפנה מצד הלקוח (CSE)
הצפנה שמטופלת בדפדפן של הלקוח לפני האחסון שלה לאחסון מבוסס-ענן. המגבלה הזו מגינה על הקובץ מפני קריאה באחסון ספק. מידע נוסף
שירות רשימת בקרת גישה למפתחות (KACLS)
שירות המפתחות החיצוני שלך משתמש ב-API הזה כדי לשלוט בגישה להצפנה המפתחות שמאוחסנים במערכת חיצונית.
ספק זהויות (IdP)
השירות שמאמת משתמשים לפני שהם יכולים להצפין קבצים או לגשת אליהם של קבצים מוצפנים.

הצפנה פענוח

Data Encryption Key (DEK)
המפתח שמשמש את Google Workspace בלקוח הדפדפן להצפנת הנתונים עצמו.
Key Encryption Key (KEK)
מפתח מהשירות שלך המשמש להצפנה של מפתח להצפנת נתונים (DEK).

בקרת גישה

רשימה של בקרת גישה (ACL)
רשימה של משתמשים או קבוצות שיכולים לפתוח או לקרוא קובץ.
אסימון אינטרנט מסוג JSON לאימות (JWT)
אסימון למוכ"ז (JWT: RFC 7516) שהונפקו על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.
Authorization JSON Web Token (JWT)
אסימון למוכ"ז (JWT: RFC 7516) שהונפקו על ידי Google כדי לאמת שהמתקשר מורשה להצפין או לפענח משאב.
JSON Web Key Set (JWKS)
כתובת URL של נקודת קצה לקריאה בלבד שמפנה לרשימת מפתחות ציבוריים שמשמשים לאימות אסימוני JWT (JSON Web Tokens).
היקף
בדיקות נוספות שבוצעו באסימוני האימות וההרשאה ב-KACLS לבקרת גישה.

תהליך ההצפנה מצד הלקוח

אחרי שהאדמין יפעיל את ההצפנה מצד הלקוח בארגון, המשתמשים שההצפנה מצד הלקוח תקצה להם מופעלת אפשרות ליצור מסמכים מוצפנים באמצעות כלים לשיתוף פעולה ביצירת תוכן, כמו Docs ו-Sheets, או להצפין קבצים שהם מעלים ל-Google Drive, למשל קובצי PDF.

אחרי שהמשתמש מצפין מסמך או קובץ:

  1. מערכת Google Workspace יוצרת DEK בדפדפן הלקוח כדי להצפין את תוכן.

  2. מערכת Google Workspace שולחת את ה-DEK ואת אסימוני האימות לצד השלישי KACLS להצפנה, באמצעות כתובת URL שאתם מספקים האדמין של הארגון ב-Google Workspace.

  3. ה-KACLS משתמש ב-API הזה כדי להצפין את ה-DEK, ואז שולח את הקוד המעורפל, DEK מוצפן בחזרה ל-Google Workspace.

  4. הנתונים המוצפנים המוצפנים נשמרים ב-Google Workspace בענן. רק משתמשים שיש להם גישה ל-KACLS שלכם יכולים לגשת לנתונים.

מידע נוסף מופיע במאמר הצפנה ופענוח של קבצים.

השלבים הבאים