יצירת שירות למפתחות הצפנה בהתאמה אישית להצפנה מצד הלקוח

אתם יכולים להשתמש במפתחות הצפנה משלכם כדי להצפין את נתוני הארגון, במקום להשתמש בהצפנה שמסופקת על ידי Google Workspace. באמצעות ההצפנה מצד הלקוח (CSE) ב-Google Workspace, הצפנת הקבצים מטופלת בדפדפן של הלקוח לפני שהם מאוחסנים באחסון מבוסס-הענן של Drive. כך השרתים של Google לא יכולים לגשת למפתחות ההצפנה, ולכן לא יכולים לפענח את הנתונים. לפרטים נוספים קראו את המאמר מידע על הצפנה מצד הלקוח.

באמצעות ה-API הזה תוכלו לשלוט במפתחות ההצפנה ברמה העליונה שמגינים על הנתונים שלכם באמצעות שירות חיצוני למפתחות הצפנה. אחרי שיוצרים שירות חיצוני למפתחות הצפנה באמצעות ה-API הזה, אדמינים ב-Google Workspace יכולים להתחבר אליו ולהפעיל CSE למשתמשים שלהם.

מונחים חשובים

בטבלה הבאה ריכזנו רשימה של מונחים נפוצים ב-Google Workspace להצפנה מצד הלקוח:

הצפנה מצד הלקוח (CSE)
הצפנה שמטופלת בדפדפן של הלקוח לפני שהיא מאוחסנת באחסון מבוסס-ענן. מגינים על הקובץ כדי שספק האחסון לא יוכל לקרוא אותו. מידע נוסף
שירות רשימות בקרת גישה למפתחות (KACLS)
שירות המפתחות החיצוני שמשתמש ב-API הזה כדי לשלוט בגישה למפתחות הצפנה שמאוחסנים במערכת חיצונית.
ספק זהויות (IdP)
השירות שמאמת את המשתמשים לפני שהם יכולים להצפין קבצים או לגשת לקבצים מוצפנים.

הצפנה ופענוח

מפתח להצפנת נתונים (DEK)
המפתח שמשמש את Google Workspace בלקוח הדפדפן כדי להצפין את הנתונים בעצמו.
מפתח להצפנת מפתחות הצפנה (KEK)
מפתח מהשירות שלך שמשמש להצפנה של מפתח להצפנת נתונים (DEK).

בקרת גישה

רשימת בקרת גישה (ACL)
רשימה של משתמשים או קבוצות שיכולים לפתוח או לקרוא קובץ.
אסימון אינטרנט מסוג JSON לאימות (JWT)
אסימון למוכ"ז (JWT: RFC 7516) שהונפק על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.
הרשאות JSON Web Token (JWT)
אסימון למוכ"ז (JWT: RFC 7516) שהונפק על ידי Google כדי לאמת שהמתקשר מורשה להצפין את המשאב או לפענח אותו.
JSON Web Key Set (JWKS)
כתובת URL של נקודת קצה (endpoint) לקריאה בלבד שמפנה לרשימה של מפתחות ציבוריים שמשמשים לאימות אסימוני JSON Web Tokens (JWT).
היקף
בדיקות נוספות בוצעו באסימוני האימות וההרשאה ב-KACLS לבקרת גישה.

תהליך ההצפנה מצד הלקוח

אחרי שהאדמין של הארגון מפעיל את ההצפנה מצד הלקוח, המשתמשים שהפעילו את ההצפנה מצד הלקוח יכולים לבחור ליצור מסמכים מוצפנים באמצעות הכלים לשיתוף פעולה ב-Google Workspace ליצירת תוכן, כמו Docs ו-Sheets, או להצפין קבצים שהם מעלים ל-Google Drive, כמו קובצי PDF.

לאחר שהמשתמש מצפין מסמך או קובץ:

  1. מערכת Google Workspace יוצרת DEK בדפדפן הלקוח כדי להצפין את התוכן.

  2. כדי לבצע הצפנה, מערכת Google Workspace שולחת את ה-DEK ואת אסימוני האימות ל-KACLS של הצד השלישי, באמצעות כתובת ה-URL שאתם מספקים לאדמין של הארגון ב-Google Workspace.

  3. ב-KACLS נעשה שימוש ב-API הזה כדי להצפין את ה-DEK, ולאחר מכן שולח את ה-DEK עם ערפול הקוד (obfuscation) בחזרה ל-Google Workspace.

  4. הנתונים המוצפנים והערפולים של Google Workspace מאחסנים בענן. רק משתמשים שיש להם גישה ל-KACLS שלך יכולים לגשת לנתונים.

לפרטים נוספים אפשר לעיין במאמר הצפנה ופענוח של קבצים.

השלבים הבאים