Google dégaine un outil anti-Cloud Act
Avec External Key Manager, annoncé lors de la conférence Next de Londres, Google va permettre aux entreprises de se protéger contre le Cloud Act. L’outil permet de mettre en place un mécanisme empêchant Google de décrypter les données stockées dans son cloud.
Google a dévoilé un nouvel outil imaginé pour rassurer les entreprises européennes qui hésiteraient à passer sur son cloud. A l’occasion de sa conférence Next à Londres, la firme a annoncé la sortie prochaine, en bêta, d’un gestionnaire de clé de chiffrement externe. External Key Manager donne au entreprises plus de contrôle sur la sécurité de leurs données cloud. L’outil permet notamment de se protéger contre une éventuelle demande d’accès formulée dans le cadre du Cloud Act, la loi qui donne le pouvoir aux autorités US d’accéder à des données d’entreprises américaines peu importe le pays où les données sont hébergées.
External Key Manager permet de séparer les données au repos et les clés de chiffrement tout en exploitant les capacités de calcul et d'analyse de Google Cloud Platform. Les entreprises pourront chiffrées les données de Compute Engine et de BigQuery avec des clés stockées dans un gestionnaire tiers. Pour ce faire, Google collabore avec cinq des principaux fournisseurs sur ce créneau: Equinix, Fortanix, Ionic, Thales et Unbound.
Pour contrôler l’accès aux clés gérées en externe avec External Key Manager, la firme de Mountain View va introduire la fonctionnalité Key Access Justifications (bientôt en version alpha). Ce système permettra aux entreprises d'approuver ou de refuser explicitement de fournir la clé, de façon automatisée à l’aide de règles définies au préalable. «En utilisant ensemble External Key Manager et Key Access Justifications, vous pouvez refuser à Google la possibilité de décrypter vos données pour n'importe quelle raison. Par conséquent, vous êtes l'arbitre ultime de l'accès à vos données, un niveau de contrôle qu'aucun autre fournisseur de cloud ne peut offrir», assure dans un billet de blog Sunil Potti, responsable de la sécurité chez Google Cloud.
Empêcher le stockage par erreur dans une mauvaise région
Ces options de contrôle de clé de chiffrement complètent une poignée de nouveaux outils et services dédiés à la sécurité et à la protection des données dans Google Cloud. Il est ainsi désormais possible de configurer des contraintes qui peuvent être appliquées au niveau de l'organisation, du dossier ou du projet. Cette fonctionnalité permet de fixer des contraintes pour limiter les localisations d'une nouvelle ressource. En associant ces règles aux autorisations IAM (Gestion des identités et des accès), les entreprises peuvent empêcher que des employés stockent par erreur des données dans la mauvaise région Google Cloud, par exemple dans une région US au lieu de la région suisse lancée cette année.
Google a aussi dévoilé des outils qui permettent de mieux contrôler l’accès à ses services cloud au sein d’une entreprise. Il est ainsi possible de paramétrer les autorisations d'accès pour exiger qu’un employé reçoive une autorisation explicite avant de pouvoir se connecter. En outre, l’outil Access Transparency génère des logs en temps quasi réel lorsque les administrateurs Google interagissent avec les données. Ces logs renseignant notamment sur la localisation de l'administrateur et les raisons de l'accès.
