”Det ska inte finnas någon skillnad för kunden mellan att köra applikationer och lagra data i molnet eller att göra det i ett eget datacenter”. Med de orden pekar Google ut vägen för en kommande funktion för Google Cloud Platform där kunden inte bara äger sin egen nyckel till krypteringen av sina data, utan även kan lagra den utanför Googles kontroll.
Tjänsten heter Cloud External Key Manager och ska användas tillsammans med den redan etablerade tjänsten Cloud Key Manager System. Tjänsten kommer först i betaversion för molntjänsterna Bigquery och Compute Engine.
Att kunden äger sin nyckel för Cloud Platform är i sig inget nytt; redan sedan tidigare kan kunden skapa en privat nyckel för att kryptera data i molnet, men tidigare har kunden fått välja att lagra nyckeln inom Googles domän, eventuellt med tillägget att lagra den på en dedikerad hårdvara, en Hardware Security Module, HSM.
Placera nyckeln utanför Googles kontroll
Det nya med External Key Manager är att kunden kan välja sin egen HSM och placera sin nyckel utanför Googles kontroll. Google erbjuder att kunden kan lagra sin nyckel i HSM:er från Equinix, Fortanix, Ionic, Thales eller Unbound.
Tillsammans med External Key Manager inför Google även en funktion de kallar Key Access Justifications. Denna funktion gör det möjligt för Google att begära tillgång till kundens nyckel, men endast om kunden ger sitt godkännande. Key Access Justification förser kunden med ett rättfärdigande till varför Google begär tillgång till nyckeln tillsammans med en mekanism i form av en automatiserad policy som gör att kunden kan godkänna eller neka tillgång till nyckeln.
Google skriver i en bloggpost att dessa funktioner tillsammans gör kunden till ”skiljedomare över tillgången till data – en nivå av kontroll som hittills inte gått att få från någon annan molnleverantör”. Key Access Justifications kommer snart släppas i alfa-version till Bigquery och Compute Engine/Persistent Disk för kunder som vill vara ”early adopters”.
Samtidigt med införandet av External Key Manager och Key Access Justification öppnar Google för att kunderna ska kunna peka ut i vilka länder eller regioner applikationer och data får finnas. Google säger att detta är ett direkt svar på de krav som finns inom EU, men att denna möjlighet även är global.
Kan välja var data ska lagras
Kunder inom EU som behöver begränsa var data geografiskt lagras kan peka ut Googles datacenter i Storbritannien, Tyskland, Finland, Schweiz och Nederländerna. Av dessa ligger förstås Schweiz utanför EU, och framtiden för Storbritanniens status som EU-land är osäkert på grund av Brexit. Fler valmöjligheter kommer att komma i takt med att Google bygger fler datacenter både inom Europa och på andra ställen i världen. Enligt Google kommer de att säkerställa att vilande data endast lagras där kunden begärt att de ska lagras. Kunderna kommer att kunna konfigurera var data lagras på organisations-, katalog- och projektnivå.
Stödet för val av land eller region sträcker sig även till att förhindra att användare av misstag lagrar data på andra ställen än de angivna och kunden kan även sätta gränser för från vilka platser, på nätverksnivå, som användare kan få tillgång till data. Detta gör att kunden kan begränsa tillgången till en specifik region och kan se till att data inte kan flyttas ut från en angiven region.
Om dessa åtgärder tillsammans räcker för att lugna oroliga EU-kunder återstår att se. Hur säkerheten kring External Key Manager fungerar i praktiken, om funktionen är realiserbar för presumtiva företag med skilda krav, och om funktionen är i linje med organisationens säkerhetskrav är något varje företag bör utvärdera.
Läs också:
Googles insamling av sjukjournaler utreds – kan bryta mot lagen
Så ska Google Anthos ta upp kampen med AWS och Azure
