יצירת שירות למפתחות הצפנה בהתאמה אישית להצפנה מצד הלקוח

אתם יכולים להשתמש במפתחות הצפנה משלכם כדי להצפין את הנתונים של הארגון, במקום להשתמש בהצפנה ש-Google Workspace מספקת. בעזרת ההצפנה מצד הלקוח (CSE) ב-Google Workspace, הצפנת הקבצים מתבצעת בדפדפן של הלקוח לפני שהם מאוחסנים באחסון מבוסס-הענן של Drive. כך, לשרתים של Google לא תהיה גישה למפתחות ההצפנה שלכם, ולכן הם לא יוכלו לפענח את הנתונים שלכם. פרטים נוספים זמינים במאמר בנושא הצפנה מצד הלקוח.

ממשק ה-API הזה מאפשר לכם לשלוט במפתחות ההצפנה ברמה העליונה שמגנים על הנתונים שלכם באמצעות שירות מפתחות חיצוני בהתאמה אישית. אחרי שיוצרים שירות מפתחות חיצוני באמצעות ה-API הזה, אדמינים של Google Workspace יכולים להתחבר אליו ולהפעיל הצפנה מצד הלקוח עבור המשתמשים שלהם.

מונחים חשובים

ריכזנו כאן רשימה של מונחים נפוצים שמשמשים ב-Google Workspace Client-side Encryption API:

הצפנה מצד הלקוח (CSE)

הצפנה שמטופלת בדפדפן של הלקוח לפני שהיא מאוחסנת באחסון מבוסס-הענן. כך הקובץ מוגן מפני קריאה על ידי ספק האחסון. מידע נוסף

Key Access Control List Service (KACLS)

שירות המפתחות החיצוני שלכם שמשתמש ב-API הזה כדי לשלוט בגישה למפתחות הצפנה שמאוחסנים במערכת חיצונית.

ספק זהויות (IdP)

השירות שמאמת את המשתמשים לפני שהם יכולים להצפין קבצים או לגשת לקבצים מוצפנים.

הצפנה ופענוח

מפתח להצפנת נתונים (DEK)

המפתח שבו Google Workspace משתמשת בדפדפן הלקוח כדי להצפין את הנתונים עצמם.

מפתח להצפנת מפתחות הצפנה (KEK)

מפתח מהשירות שלכם שמשמש להצפנה של מפתח להצפנת נתונים (DEK).

בקרת גישה

רשימה של בקרת גישה (ACL)

רשימה של משתמשים או קבוצות שיכולים לפתוח או לקרוא קובץ.

אסימון אינטרנט מסוג JSON‏ (JWT) לאימות

אסימון למוכ"ז (JWT: RFC 7516) שהונפק על ידי שותף הזהויות (IdP) כדי לאמת את זהות המשתמש.

טוקן רשת מבוסס JSON (JWT) להרשאה

אסימון Bearer (JWT: RFC 7516) שהונפק על ידי Google כדי לאמת שהמשתמש מורשה להצפין או לפענח משאב.

קבוצת מפתחות JWK‏ (JSON Web Key Set)

כתובת URL של נקודת קצה לקריאה בלבד שמפנה לרשימה של מפתחות ציבוריים שמשמשים לאימות של אסימוני JWT‏ (JSON Web Tokens).

היקף

בדיקות נוספות שמתבצעות באסימוני האימות וההרשאה בתוך KACLS לצורך בקרת גישה.

תהליך ההצפנה מצד הלקוח

אחרי שאדמין מפעיל את ההצפנה מצד הלקוח בארגון, משתמשים שההצפנה מצד הלקוח הופעלה עבורם יכולים ליצור מסמכים מוצפנים באמצעות כלי Google Workspace ליצירת תוכן שיתופי, כמו Docs ו-Sheets, או להצפין קבצים שהם מעלים ל-Google Drive, כמו קובצי PDF.

אחרי שהמשתמש מצפין מסמך או קובץ:

1. ‫Google Workspace יוצר מפתח הצפנה (DEK) בדפדפן של הלקוח כדי להצפין את התוכן.

2. ‫Google Workspace שולח את מפתח ה-DEK ואת אסימוני האימות ל-KACLS של צד שלישי לצורך הצפנה, באמצעות כתובת URL שאתם מספקים לאדמין של הארגון ב-Google Workspace.

3. ה-KACLS משתמש ב-API הזה כדי להצפין את ה-DEK, ואז שולח את ה-DEK המוצפן והמטושטש בחזרה ל-Google Workspace.

4. ‫Google Workspace מאחסן את הנתונים המוצפנים והמוסתרים בענן. רק משתמשים שיש להם גישה לרשימות בקרת הגישה שלכם יכולים לגשת לנתונים.

פרטים נוספים זמינים במאמר בנושא הצפנה ופענוח של קבצים.

השלבים הבאים

• איך מגדירים את השירות
• כך מצפינים ומפענחים נתונים.