יצירת שירות למפתחות הצפנה בהתאמה אישית להצפנה מצד הלקוח

אתם יכולים להשתמש במפתחות ההצפנה שלכם כדי להצפין את הנתונים של הארגון, במקום להשתמש בהצפנה ש-Google Workspace מספקת. כשמשתמשים בהצפנה מצד הלקוח (CSE) ב-Google Workspace, ההצפנה של הקבצים מתבצעת בדפדפן של הלקוח לפני שהם מאוחסנים באחסון מבוסס-הענן של Drive. כך לשרתים של Google אין גישה למפתחות ההצפנה, ולכן הם לא יכולים לפענח את הנתונים. פרטים נוספים זמינים במאמר מידע על הצפנה מצד הלקוח.

ממשק ה-API הזה מאפשר לכם לשלוט במפתחות ההצפנה ברמה העליונה שמגינים על הנתונים שלכם באמצעות שירות מפתחות חיצוני בהתאמה אישית. אחרי שיוצרים שירות מפתחות חיצוני באמצעות ה-API הזה, האדמינים ב-Google Workspace יכולים להתחבר אליו ולהפעיל את ההצפנה מצד הלקוח למשתמשים שלהם.

מונחים חשובים

ריכזנו כאן רשימה של מונחים נפוצים שמשמשים ב-Google Workspace Client-side Encryption API:

הצפנה מצד הלקוח (CSE)

הצפנה שמתבצעת בדפדפן של הלקוח לפני שהנתונים מאוחסנים באחסון מבוסס-ענן. כך הקובץ לא ינוהל על ידי ספק האחסון. מידע נוסף

Key Access Control List Service‏ (KACLS)

שירות המפתחות החיצוני שמשתמש ב-API הזה כדי לשלוט בגישה למפתחות ההצפנה שמאוחסנים במערכת חיצונית.

ספק זהויות (IdP)

השירות שמאמת משתמשים לפני שהם יכולים להצפין קבצים או לגשת לקבצים מוצפנים.

הצפנה ופענוח

מפתח להצפנת נתונים (DEK)

המפתח ש-Google Workspace משתמש בו בלקוח הדפדפן כדי להצפין את הנתונים עצמם.

מפתח להצפנת מפתחות הצפנה (KEK)

מפתח מהשירות שלכם שמשמש להצפנת מפתח להצפנת נתונים (DEK).

בקרת גישה

רשימת בקרת גישה (ACL)

רשימה של משתמשים או קבוצות שיכולים לפתוח או לקרוא קובץ.

אסימון רשת מבוסס JSON (JWT) לאימות

אסימון למוכ"ז (JWT: RFC 7516) שמונפק על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.

אסימון רשת מבוסס JSON (JWT) להרשאה

אסימון למוכ"ז (JWT: RFC 7516) שהונפקה על ידי Google כדי לאמת שהמבצע של הקריאה מורשה להצפין או לפענח משאב.

קבוצת מפתחות JSON Web (JWKS)

כתובת URL של נקודת קצה לקריאה בלבד שמצביעה על רשימה של מפתחות ציבוריים המשמשים לאימות של אסימוני JWT‏ (JSON Web Tokens).

Perimeter

בדיקות נוספות שמבוצעות על אסימוני האימות וההרשאה ב-KACLS לבקרת גישה.

תהליך ההצפנה מצד הלקוח

אחרי שהאדמין מפעיל את ההצפנה מצד הלקוח בארגון, משתמשים שההצפנה מצד הלקוח מופעלת אצלם יכולים ליצור מסמכים מוצפנים באמצעות הכלים ליצירת תוכן שיתופי ב-Google Workspace, כמו Docs ו-Sheets, או להצפין קבצים שהם מעלים ל-Google Drive, כמו קובצי PDF.

אחרי שהמשתמש מצפין מסמך או קובץ:

1. מערכת Google Workspace יוצרת מפתח DEK בדפדפן הלקוח כדי להצפין את התוכן.

2. מערכת Google Workspace שולחת את ה-DEK ואת אסימוני האימות ל-KACLS של הצד השלישי להצפנה, באמצעות כתובת URL שאתם מספקים לאדמין הארגוני ב-Google Workspace.

3. ה-KACLS משתמש ב-API הזה כדי להצפין את ה-DEK, ואז שולח בחזרה ל-Google Workspace את ה-DEK המוצפן והמעוות.

4. מערכת Google Workspace מאחסנת בענן את הנתונים המוצפנים והמעוותים. רק משתמשים שיש להם גישה ל-KACLS שלכם יכולים לגשת לנתונים.

מידע נוסף זמין במאמר הצפנה ופענוח של קבצים.

השלבים הבאים

• כך מגדירים את השירות
• איך להצפין ולפענח נתונים