Google Compute Engine允许开发者使用自己的密钥加密

安全问题是公有云服务推广的主要阻力之一，为此各家云服务提供商都在展开打消客户疑虑的努力。Google 今天宣布，其 IaaS（基础设施即服务）服务 Google Compute Engine 开始允许用户使用自己的密钥对数据进行加密，这意味着用户对自己的数据安全拥有更大的控制权。目前这项特性正在加拿大、法国、德国、日本及台湾等地区免费开放测试。

Compute Engine 是 Google 的系列云服务之一，它利用了 Google 庞大的基础设施，再起之上搭建了大规模的虚机并向用户出租这些虚拟计算资源。Compute Engine 默认是使用 256 位的 AES 密钥来对数据进行加密的，但是这种加密是由 Google 进行的，并且密钥会定期循环使用，这会导致用户对安全方面的担忧。

Google Compute Engine 这项新推出安全特性有望缓解用户的忧虑。名为 Customer-Supplied Encryption Keys 的安全新特性允许用户自行创建并保管密钥，决定数据的激活和休眠，在没有密钥的情况下，Google 内外的任何人都无法获取这些休眠的数据。而 Google 除了暂时使用密钥来执行客户请求外不会保留这些密钥。

对于用户来说，尽管这项服务提供提高安全性。但是让他们自行管理密钥可能会对其能力提出更高的要求，而且一旦密钥丢失的话还会造成数据的丢失。所以，这项功能也许更适合于具备相应技术和管理能力的大型组织采用。

Google 并非第一家提供此能力的云供应商。去年 AWS 就已经引入了类似的能力。而一些云存储服务也都实现了相应的安全特性。比如微软 Azure 有 Key Vault，Amazon 有 CloudHSM，Box 今年也推出了 Enterprise Key Management 服务。