Google Cloud Spanner ondersteunt nu ook eigen encryptiesleutels

Abonneer je gratis op Techzine!

Cloud Spanner, de relationele database van Google, biedt nu ondersteuning voor het gebruik van eigen encryptiesleutels. Dit is voor bepaalde klanten nodig om aan lokale datawetten te voldoen.

Standaard verzorgt Cloud Spanner al encryptie voor data die wordt verstuurd van en naar de database van Google en wordt ook data at rest versleuteld. Hiervoor gebruikt het bedrijf encryptiesleutels die worden beheerd door Google. Het bedrijf vertelt echter dat klanten in gereguleerde branches als financiële diensten, gezondheidszorg, biowetenschappen en de telecomindustrie hun eigen encryptiesleutels moeten beheren om aan de wetgeving te voldoen.

Customer-managed encryption keys

Daarom heeft Google Customer-managed encryption keys (CMEK) aan Spanner toegevoegd. Klanten kunnen hierdoor nu met CMEK eigen encryptiesleutels beheren in het Key Management System (KMS) van Google. Met de eigen sleutels kunnen de klanten aan de hoogste niveaus van beveiliging en compliance voldoen. Ook het beschermen van databaseback-ups is mogelijk. Verder is er ondersteuning voor VPC Service Controls en zijn er certificaten voor ISO 27001, 27017, 27018, PCI DSS, SOC1, 2 en 3, HIPAA en FedRamp.

Access Approval

Een andere nieuwe feature in Spanner is de ondersteuning voor Access Approval. Als deze functie aan staat, moeten supportmedewerkers eerst de uitdrukkelijke toestemming van de eigenaar van de data krijgen voordat ze toegang krijgen tot de gegevens. Dit is een aanvulling op het bestaande Access Transparency, waarbij alle handelingen van Google-medewerkers in een database worden bijgehouden in een logboek. Met Access Approval krijgen gebruikers ook een overzicht van rechten die in het verleden al dan niet zijn gegeven aan Google-medewerkers.

Cloud Spanner

Cloud Spanner is de commerciële tegenhanger van de relationele database die het bedrijf zelf gebruikt voor zijn consumentendiensten. Standaard maakt het systeem gebruik van sql-syntax en komt het met SLA’s waarbij maximaal een uur aan downtime per jaar wordt beloofd. Het systeem bood al integratie met Cloud KMS, met ondersteuning voor een handvol populaire cryptografische protocollen. Binnen Cloud KMS kunnen cybersecurityteams nieuwe sleutels genereren, bestaande verwijderen en zo nodig automatisch nieuwe sleutels aanmaken voor gevoelige applicaties. Met de sleutels kunnen zowel de gegevens in Cloud Spanner als de back-ups daarvan worden versleuteld.

Beschikbaarheid

CMEK voor Cloud Spanner is nu beschikbaar. Een database met CMEK-functionaliteit wordt op dezelfde manier in rekening gebracht als andere Spanner-databases. Wel zijn er kosten verbonden aan het gebruik van Cloud KMS wanneer Spanner een sleutel gebruikt. Google verwacht dat de kosten daarvan miniem zijn. Meer informatie is te vinden in de aankondiging van Google.

Tip: Google Cloud krijgt ‘Secret Manager’ voor opslaan credentials