Google Docs、Google Drive等云端服务受到企业用户的欢迎，也提供加密服务，但是一个问题长年受到诟病，就是加密金钥不得自行储存。不过Google本周做出改变，将允许用户自行储存加密金钥。

　　Google目前已可为静止中（at rest）以及Google Cloud服务之间传输（in transit）的资料提供加密服务。Google Workspace本周推出客户端加密（Client-side encryption），允许用户直接管理加密金钥，或让用户选择金钥管理服务，同时确保资料安全性，以及资料主权、法规遵循要求。

　　图片来源_Google

　　Slack则是2019年即已允许用户自行管理加密金钥了。

　　启用这项服务的用户有二种选择。一是他们需要从4家Google配合的业者，包括Flowcrypt、 Futurex、Thales或Virtru中选择。这些厂商提供金钥管理及存取控制，允许企业储存解密Google Workspace档案的金钥。Google强调这些厂商符合Google规格要求，即使是Google也无法在没金钥情况下存取这些档案。而针对希望在自家系统上建立金钥服务的使用者，Google今年稍晚也会公布金钥存取服务API规格， 配合客户端加密使用。

　　Google强调利用这项服务，Google无法解密金钥，企业用户还能利用Google平台进行协同、存取行动装置上的内容，或和外部人士分享加密档案。这项功能也能结合Google其他加密功能使用。

　　这项服务能满足受法规列管或是特别重视智财（IP）的产业需求，像是金融、医疗、或半导体业。符合产业类别的安全标准，像是ITAR、CJIS、TISAX、IRS 1075和EAR等。

　　Workspace未来几周将推出客户端加密的beta版，首波对象是Workspace Enterprise Plus和Workspace Education Plus客户。客户端加密一开始只支援Drive、Docs、Sheets和Slides，以及Office、PDF等档案型态。Google也表示这项加密服务会逐渐推向Workspace其他服务上，包括Gmail、Meet、及行事历。今年秋天客户端加密将支援Google Meet。有兴趣的企业需登记才能加入试用。

　　Google今天也公布多项安全新功能。首先，Workspace开放一项管理员设定，名为Drive信任规则，允许企业自订将档案分给内部或外部人士的规则。特定规则可设定只适用於细部组织层级，甚至可设定部门单位或群组。再几个月Drive信任规则将以beta版，开放给Enterprise和Education Plus方案用户。

　　其他功能还包括可为Google Drive加上档案分类的Drive标签，它整合Workspace DLP功能，可个别设定档案的敏感层级，防止机密资料被分享、下载及列印，或是文件保管箱Google Vault。Drive标签现在已针对Workspace Business Standard/Business Plus、Workspace Enterprise/ Education Standard/Education Plus推出beta版。

　　此外，原本Google Drive才享有的钓鱼及恶意内容防护，未来几周将部署到所有Workspace服务。一旦Google侦测到钓鱼信件或恶意内容，就会将之标示出并对管理员及档案拥有者发出提醒，防止资料外泄，减少受影响的用户。今天宣布的用户端加密也都可整合上述安全功能使用。