יצירת שירות למפתחות הצפנה בהתאמה אישית להצפנה מצד הלקוח

אתם יכולים להשתמש במפתחות הצפנה משלכם כדי להצפין את הנתונים של הארגון, במקום להשתמש בהצפנה ש-Google Workspace מספקת. בעזרת ההצפנה מצד הלקוח (CSE) ב-Google Workspace, הצפנת הקבצים מתבצעת בדפדפן של הלקוח לפני שהם מאוחסנים באחסון מבוסס-הענן של Google Drive. כך, לשרתים של Google לא תהיה גישה למפתחות ההצפנה שלכם, ולכן הם לא יוכלו לפענח את הנתונים שלכם. פרטים נוספים מופיעים במאמר בנושא מידע על הצפנה מצד הלקוח.

ממשק ה-API הזה מאפשר לכם לשלוט במפתחות ההצפנה ברמה העליונה שמגנים על הנתונים שלכם באמצעות שירות מפתחות חיצוני בהתאמה אישית. אחרי שיוצרים שירות חיצוני למפתחות הצפנה באמצעות ה-API הזה, אדמינים ב-Google Workspace יכולים להתחבר אליו ולהפעיל הצפנה מצד הלקוח עבור המשתמשים שלהם.

מונחים חשובים

ריכזנו כאן רשימה של מונחים נפוצים שמשמשים ב-Google Workspace Client-side Encryption API:

הצפנה מצד הלקוח (CSE)

הצפנה שמטופלת בדפדפן של הלקוח לפני שהיא מאוחסנת באחסון מבוסס-ענן. כך הקובץ מוגן מפני קריאה על ידי ספק האחסון. מידע נוסף

Key Access Control List Service (KACLS)

שירות המפתחות החיצוני שמשתמש בממשק ה-API הזה כדי לשלוט בגישה למפתחות הצפנה שמאוחסנים במערכת חיצונית.

ספק זהויות (IdP)

השירות שמאמת את המשתמשים לפני שהם יכולים להצפין קבצים או לגשת לקבצים מוצפנים.

הצפנה ופענוח

מפתח להצפנת נתונים (DEK)

המפתח שבו Google Workspace משתמשת בלקוח הדפדפן כדי להצפין את הנתונים עצמם.

מפתח להצפנת מפתחות הצפנה (KEK)

מפתח מהשירות שלכם שמשמש להצפנה של מפתח להצפנת נתונים (DEK).

בקרת גישה

רשימה של בקרת גישה (ACL)

רשימה של משתמשים או קבוצות שיכולים לפתוח או לקרוא קובץ.

אסימון אינטרנט מסוג JSON‏ (JWT) לאימות

‫

אסימון למוכ"ז (JWT: RFC 7519) שהונפק על ידי ספק הזהויות (IdP) כדי לאמת את זהות המשתמש.

טוקן רשת מבוסס JSON (JWT) להרשאה

טוקן מסוג Bearer ‏ (JWT: RFC 7519) שהונפק על ידי Google כדי לאמת שהמתקשר מורשה להצפין או לפענח משאב.

קבוצת מפתחות JWK‏ (JSON Web Key Set)

כתובת URL של נקודת קצה לקריאה בלבד שמפנה לרשימה של מפתחות ציבוריים שמשמשים לאימות של JSON Web Tokens‏ (JWT).

Perimeter

בדיקות נוספות שמבוצעות באסימוני האימות וההרשאה בתוך KACLS לצורך בקרת גישה.

תהליך ההצפנה מצד הלקוח

אחרי שאדמין מפעיל הצפנה מצד הלקוח בארגון, משתמשים שההצפנה הופעלה עבורם יכולים ליצור מסמכים מוצפנים באמצעות הכלים לשיתוף פעולה ביצירת תוכן ב-Google Workspace, כמו Docs ו-Sheets, או להצפין קבצים שהם מעלים ל-Drive, כמו קובצי PDF.

אחרי שהמשתמש מצפין מסמך או קובץ:

1. ‫Google Workspace יוצר מפתח הצפנה של נתונים (DEK) בדפדפן של הלקוח כדי להצפין את התוכן.

2. ‫Google Workspace שולח את מפתח ה-DEK ואת אסימוני האימות ל-KACLS של צד שלישי לצורך הצפנה, באמצעות כתובת URL שאתם מספקים לאדמין של הארגון ב-Google Workspace.

3. ה-KACLS משתמש ב-API הזה כדי להצפין את ה-DEK, ואז שולח את ה-DEK המוצפן והמטושטש בחזרה אל Google Workspace.

4. ‫Google Workspace מאחסן את הנתונים המוצפנים והמוסתרים בענן. רק משתמשים שיש להם גישה לרשימות בקרת הגישה למפתחות יכולים לגשת לנתונים.

פרטים נוספים זמינים במאמר בנושא הצפנה ופענוח של קבצים.

השלבים הבאים

• איך מגדירים את השירות
• כאן מוסבר איך להצפין ולפענח נתונים.