Google geeft je de controle over encryptiesleutels in cloudplatform

Stay tuned, abonneer!

Op Google Cloud Next kondigt Google enkele verbeteringen aan in de manier waarop het Cloud Platform omgaat met encryptiesleutels. Externe controle, buiten Google om, staat centraal.

Op Google Cloud Next in Londen kondigt Google twee nieuwigheden aan inzake sleutelbeheer voor zijn cloudplatform. Eerst en vooral lanceert het bedrijf de ‘External Key Manager’. Die werkt met Cloud KMS en laat je data in BigQuery en de Compute Engine versleutelen met sleutels die buiten de Google-infrastructuur worden bewaard. Google werkt daarvoor samen met vijf voorname partijen: Equinix, Fortanix, Ionic, Thales en Unbound. De manager is uitgerust met audit-functionaliteit, zodat je kan nagaan wanneer en waar keys gebruikt zijn. Zo wil Google tegemoetkomen aan eisen in verband met governance en compliance. “Zelfs Google kanje data niet ontgrendelen als jij dat niet toestaat”, vertelt Google Cloud-CEO Thomas Kurian op het podium.

Toegangscontrole

Naast de manager pakt Google op Cloud Next uit met wat het ‘Key Access Justifications’ noemt. Die functie werkt samen met de External Key Manager en bouwt voort op de audit-functies. Concreet Vraagt het systeem voor een gegronde reden bij ieder gebruik van een sleutel om aan gevoelige data te raken. In combinatie met policies kan je als beheerder zo eenvoudig beslissen wanneer een sleutel en wanneer die niet mag gebruikt worden.

De twee functies samen geven je als gebruiker een uitgebreide controle over de encryptie van je data en de toegang van Google Cloud-systemen tot die data. Zo probeert de internetreus tegemoet te komen aan eventuele vertrouwensvragen van organisaties die aarzelend tegenover de publieke cloud staan. De gebruiker heeft immers de finale controle over toegang tot de data, en via policies kan toegang geweigerd wordne om welke reden dan ook.

Beschikbaarheid

De External Key Manager komt binnenkort beschikbaar als beta, de Key Access Justifications komen eerst nog als alfaversie naar het publiek. De nieuwe functies sluiten aan bij eerdere toepassingen inzake encryptie zoals gemanagede sleutels voor GKE en Application Layer Secrets-encryption.

Tot slot horen we van Google dat Cloud HSM-gebruikers voortaan hun eigen sleutels kunnen genereren en gebruiken via de Key Import-functie. Die is uit bèta en algeneem beschikbaar in alle regio’s.