Google Docs、Google Drive等云端服務受到企業(yè)用戶的歡迎，也提供加密服務，但是一個問題長年受到詬病，就是加密金鑰不得自行儲存。不過Google本周做出改變，將允許用戶自行儲存加密金鑰。

　　Google目前已可為靜止中（at rest）以及Google Cloud服務之間傳輸（in transit）的資料提供加密服務。Google Workspace本周推出客戶端加密（Client-side encryption），允許用戶直接管理加密金鑰，或讓用戶選擇金鑰管理服務，同時確保資料安全性，以及資料主權、法規(guī)遵循要求。

　　圖片來源_Google

　　Slack則是2019年即已允許用戶自行管理加密金鑰了。

　　啟用這項服務的用戶有二種選擇。一是他們需要從4家Google配合的業(yè)者，包括Flowcrypt、 Futurex、Thales或Virtru中選擇。這些廠商提供金鑰管理及存取控制，允許企業(yè)儲存解密Google Workspace檔案的金鑰。Google強調這些廠商符合Google規(guī)格要求，即使是Google也無法在沒金鑰情況下存取這些檔案。而針對希望在自家系統(tǒng)上建立金鑰服務的使用者，Google今年稍晚也會公布金鑰存取服務API規(guī)格， 配合客戶端加密使用。

　　Google強調利用這項服務，Google無法解密金鑰，企業(yè)用戶還能利用Google平臺進行協(xié)同、存取行動裝置上的內(nèi)容，或和外部人士分享加密檔案。這項功能也能結合Google其他加密功能使用。

　　這項服務能滿足受法規(guī)列管或是特別重視智財（IP）的產(chǎn)業(yè)需求，像是金融、醫(yī)療、或半導體業(yè)。符合產(chǎn)業(yè)類別的安全標準，像是ITAR、CJIS、TISAX、IRS 1075和EAR等。

　　Workspace未來幾周將推出客戶端加密的beta版，首波對象是Workspace Enterprise Plus和Workspace Education Plus客戶。客戶端加密一開始只支援Drive、Docs、Sheets和Slides，以及Office、PDF等檔案型態(tài)。Google也表示這項加密服務會逐漸推向Workspace其他服務上，包括Gmail、Meet、及行事歷。今年秋天客戶端加密將支援Google Meet。有興趣的企業(yè)需登記才能加入試用。

　　Google今天也公布多項安全新功能。首先，Workspace開放一項管理員設定，名為Drive信任規(guī)則，允許企業(yè)自訂將檔案分給內(nèi)部或外部人士的規(guī)則。特定規(guī)則可設定只適用於細部組織層級，甚至可設定部門單位或群組。再幾個月Drive信任規(guī)則將以beta版，開放給Enterprise和Education Plus方案用戶。

　　其他功能還包括可為Google Drive加上檔案分類的Drive標簽，它整合Workspace DLP功能，可個別設定檔案的敏感層級，防止機密資料被分享、下載及列印，或是文件保管箱Google Vault。Drive標簽現(xiàn)在已針對Workspace Business Standard/Business Plus、Workspace Enterprise/ Education Standard/Education Plus推出beta版。

　　此外，原本Google Drive才享有的釣魚及惡意內(nèi)容防護，未來幾周將部署到所有Workspace服務。一旦Google偵測到釣魚信件或惡意內(nèi)容，就會將之標示出并對管理員及檔案擁有者發(fā)出提醒，防止資料外泄，減少受影響的用戶。今天宣布的用戶端加密也都可整合上述安全功能使用。