Google เปิดให้ผู้ใช้งานสามารถกำหนด Key ในการเข้ารหัส Storage บน Google Cloud Platform ได้เอง

Google เปิดให้ใช้งานฟีเจอร์ Customer-Supplied Encryption Keys (CSEK) สำหรับ Compute Engine ซึ่งช่วยให้ผู้ที่ใช้งาน Google Cloud Platform สามารถกำหนด Key เพื่อเข้ารหัส Storage ได้เอง

โดยปกติแล้ว การใช้งาน Persistent Disk บน Compute Engine จะมีการเข้ารหัสโดยอัตโนมัติอยู่แล้ว แต่ฟีเจอร์ CSEK จะช่วยให้ผู้ใช้งานสามารถกำหนด Key ของตนเองขึ้นมา เพื่อใช้ในการเข้ารหัสและถอดรหัสได้เอง ทำให้ไม่ว่าใครก็ตามที่ไม่ได้ถือ Key นี้อยู่ ก็จะไม่สามารถถอดรหัสข้อมูลออกมาได้ (แม้แต่ Google เองก็ตาม) ช่วยเพิ่มความมั่นใจให้กับองค์กรที่ต้องการฝากข้อมูลสำคัญไว้บน Google Cloud Platform ได้มากขึ้น และระหว่างการใช้งาน Google จะไม่มีการเก็บ Key ไว้ในระบบ

การเข้ารหัสจะเป็นแบบ AES-256 ซึ่งจะใช้ Key ขนาด 256-bit ผู้ใช้งานจำเป็นต้องมีการส่ง Key นี้ให้กับ Google โดย Key จะถูก Encoded ในรูปแบบ Base64 ซึ่งผู้ใช้งานสามารถปกป้อง Key ของตนเองด้วยการทำ RSA key wrapping ด้วย Public Key ที่ Google เตรียมเอาไว้ให้ ซึ่งจะทำให้การส่งผ่าน Key ตัวนี้จะอ่านได้จากเฉพาะ Google Cloud Platfrom เท่านั้น ทำให้มั่นใจได้ว่า Key ของตนเองจะไม่ถูกเปิดเผยระหว่างทาง

แต่ในปัจจุบันยังมีข้อจำกัดในการเข้ารหัส Storage เนื่องจากฟีเจอร์นี้จะใช้ได้เฉพาะกับ Persistent Disk ที่สร้างขึ้นมาใหม่เท่านั้น ไม่สามารถใช้กับ Persistent เดิมที่มีอยู่ได้ นอกจากนี้ยังไม่สามารถใช้การเข้ารหัส CSEK กับ Local SSD ได้ และปัจจุบันฟีเจอร์นี้รองรับแค่บางประเทศเท่านั้น เช่น แคนาดา, เดนมาร์ก, ฝรั่งเศส, เยอรมนี, ญี่ปุ่น, ไต้หวัน, อังกฤษ และสหรัฐอเมริกา สำหรับโซนอื่นๆ ทาง Google จะทยอยเปิดให้ใช้งานเร็วๆนี้

ที่มา : https://cloudplatform.googleblog.com/2016/08/how-Google-protects-your-data-Customer-Supplied-Encryption-Keys-for-Compute-Engine-goes-GA.html