Шифрование на стороне клиента

Эта функция доступна в версиях Enterprise Plus, Education Standard и Education Plus.  Сравнение версий

В дополнение к стандартному шифрованию Google Workspace вы можете использовать собственные ключи шифрования для защиты данных организации, таких как файлы и письма. Шифрование на стороне клиента в Google Workspace позволяет защищать контент в браузере клиента до передачи в облачное хранилище Google, поэтому у серверов Google нет доступа к ключам шифрования и возможности расшифровать данные. Настроив шифрование на стороне клиента, вы можете выбрать, кто из пользователей может создавать зашифрованный контент на стороне клиента и делиться им внутри организации или за ее пределами.

Содержание

Зачем использовать шифрование на стороне клиента

Во всех сервисах Google Workspace уже используются новейшие криптографические стандарты для шифрования всех данных при хранении и передаче между сервисами. В дополнение к этому в Gmail используется протокол TLS для обмена данными с другими поставщиками услуг электронной почты. Шифрование на стороне клиента позволяет управлять ключами и выбирать поставщика идентификационной информации, который будет использоваться для доступа к этим ключам. Эта дополнительная возможность помогает лучше защитить конфиденциальные или регулируемые законодательством данные. Вот некоторые причины для применения шифрования на стороне клиента в организации:

  • Конфиденциальность – организация работает с крайне конфиденциальной интеллектуальной собственностью.
  • Соблюдение нормативных требований – организация работает в тщательно регулируемой законодательством отрасли, например в аэрокосмической или оборонной промышленности, в сфере финансов или госуправления.

Поддерживаемые сервисы, приложения и типы данных

Развернуть раздел  |  Свернуть все

В каких сервисах поддерживается шифрование на стороне клиента

Шифрование на стороне клиента в Google Workspace сейчас доступно в следующих сервисах:

  • Google Диск в веб-браузере, Диск для компьютеров (только для файлов сторонних форматов) и мобильное приложение "Диск" для Android и iOS (только для просмотра файлов сторонних форматов).
  • Gmail (только в веб-браузере). Поддержка шифрования на стороне клиента в мобильном приложении Gmail для Android и iOS будет добавлена в одном из следующих выпусков.
  • Google Календарь в веб-браузере и мобильные приложения для Android и iOS.
  • Google Meet в веб-браузере и мобильные приложения для Android и iOS. Поддержка оборудования для переговорных комнат будет добавлена в одном из следующих выпусков.
Какие данные шифруются на стороне клиента
Сервис Данные, которые шифруются на стороне клиента Данные, которые не шифруются на стороне клиента
Google Диск
  • Файлы, созданные с помощью редакторов Google Документов (документы, таблицы, презентации).
  • Загруженные файлы, например файлы PDF и Microsoft Office.
  • Названия файлов.
  • Метаданные файлов, например информация о владельце, создателе и времени последнего изменения.
  • Ярлыки Диска (также называемые метаданными Диска).
  • Связанное содержимое вне Документов или Диска (например, видео на YouTube, ссылка на которое размещена в документе Google).
  • Пользовательские настройки, например стили заголовков в Документах.

Gmail
  • Содержание писем, включая встроенные изображения.
  • Прикрепленные файлы.

    Примечание. Прикреплять файлы Диска, зашифрованные на стороне клиента, пока нельзя.

Заголовки писем, включая тему, временные метки и списки получателей.
Google Календарь
  • Описания мероприятий.
  • Прикрепленные файлы с Диска (если включено шифрование на стороне клиента для Диска).
  • Аудио- и видеопотоки в Meet (если включено шифрование на стороне клиента для Meet).

Весь остальной контент, кроме описаний мероприятий, прикрепленных файлов и данных Meet, такой как:

  • название мероприятия;
  • время начала и окончания мероприятия;
  • список участников;
  • забронированные переговорные комнаты;
  • номера телефонов для присоединения к встрече;
  • ссылка для Meet.
Google Meet
  • Аудиопотоки.
  • Видеопотоки (в том числе демонстрация экрана).
  • Сообщения чата.
 Все остальные данные, кроме аудио- и видеопотоков, а также сообщений чата.

Общие сведения о настройке шифрования на стороне клиента

Развернуть раздел  |  Свернуть все

Ниже приведены инструкции по настройке шифрования на стороне клиента в Google Workspace.

Шаг 1. Настройте внешний сервис управления ключами шифрования
Вам нужно настроить сервис управления ключами шифрования. Вы можете выбрать сервис одного из партнеров Google или создать собственный с помощью Google Workspace CSE API. Этот сервис будет управлять ключами шифрования верхнего уровня, которые обеспечивают защиту ваших данных. При настройке сервиса вы добавите пользователей в список контроля доступа к ключам вашего сервиса. Подробнее о том, как настроить сервис управления ключами шифрования на стороне клиента
Шаг 2. Подключите Google Workspace к внешнему сервису управления ключами
Чтобы подключить Google Workspace к внешнему сервису управления ключами, добавьте URL этого сервиса в консоль администратора. Если вам нужны разные сервисы для разных организационных подразделений или групп, можно добавить сразу несколько. Кроме того, зашифрованный контент можно в любой момент перенести из одного сервиса в другой. Подробнее о том, как добавлять сервисы управления ключами для шифрования на стороне клиента и управлять этими сервисами
Шаг 3. Назначьте этот сервис управления ключами организационным подразделениям или группам
Подключив Google Workspace к внешнему сервису управления ключами, вы сможете назначить его организационным подразделениям или группам. Один сервис управления ключами нужно назначить как стандартный для всей организации. Подробнее о том, как назначить сервис управления ключами для шифрования на стороне клиента
Шаг 4. Подключите Google Workspace к поставщику идентификационной информации
Вам нужно подключиться к стороннему поставщику идентификационной информации или сервису идентификации Google с помощью консоли администратора или файла .well-known, размещенного на вашем сервере. Поставщик идентификационной информации будет проверять личность пользователей, прежде чем разрешать им шифровать контент или получать доступ к зашифрованному контенту. Подробнее о том, как установить подключение к поставщику идентификационной информации для шифрования на стороне клиента
Шаг 5 (только Gmail). Включите Gmail API
Создайте проект Google Cloud Platform и включите Gmail API. Затем предоставьте API доступ ко всей организации. Дополнительная информация приведена в статье Как настроить шифрование на стороне клиента в организации (только Gmail).
Шаг 6. Включите шифрование на стороне клиента для пользователей
Вы можете включить шифрование на стороне клиента для любых организационных подразделений и групп, пользователям которых нужно создавать зашифрованный контент, например файлы на Диске или электронные письма. Инструкции приведены в статье Как включить или отключить шифрование на стороне клиента.
Шаг 7 (только Gmail). Загрузите сертификаты S/MIME пользователей
Каждому из пользователей, для которых вы настраиваете шифрование на стороне клиента в Gmail, потребуется сертификат S/MIME (Secure/Multipurpose internet Mail Extensions) и метаданные закрытого ключа, зашифрованные с помощью сервиса управления ключами. Сертификат и метаданные можно загрузить с помощью Gmail API. Подробная информация приведена в разделе Как настроить шифрование на стороне клиента в Gmail для пользователей.

Требования для шифрования на стороне клиента

Развернуть раздел  |  Свернуть все

Какие права администратора вам понадобятся

Чтобы настроить шифрование на стороне клиента в организации, нужны права суперадминистратора для Google Workspace, включая следующие:

  • добавление сервисов управления ключами и управление этими сервисами;
  • назначение сервисов управления ключами организационным подразделениям и группам;
  • включение и отключение шифрования на стороне клиента для пользователей.
Требования к внутренним пользователям для шифрования на стороне клиента

Лицензии

  • Только пользователи с лицензией Google Workspace Enterprise Plus или Google Workspace for Education Plus могут использовать шифрование на стороне клиента, чтобы:
    • создавать и загружать зашифрованные файлы;
    • проводить зашифрованные встречи;
    • отправлять и получать зашифрованные электронные письма.
  • Пользователи с любой лицензией Google Workspace или Cloud Identity могут:
    • просматривать, редактировать и скачивать зашифрованный на стороне клиента контент;
    • присоединяться к зашифрованной на стороне клиента встрече.
  • Пользователи с обычным аккаунтом Google (например, пользователи Gmail) не получат доступ к зашифрованному на стороне клиента контенту, а также не смогут отправлять зашифрованные электронные письма и участвовать в зашифрованных на стороне клиента встречах.

Требования к браузеру

Просматривать и редактировать зашифрованный на стороне клиента контент можно только в браузерах Google Chrome и Microsoft Edge (Chromium).

Требования к внешним пользователям для шифрования на стороне клиента

Требования к лицензиям

  • Для доступа к зашифрованному на стороне клиента контенту, такому как файлы на Диске, внешним пользователям необходима лицензия Google Workspace или Cloud Identity.

  • Внешние пользователи могут отправлять и получать зашифрованные письма с помощью сертификатов S/MIME. Лицензия Google Workspace или Cloud Identity для этого не требуется.

  • Пользователи с обычным аккаунтом Google или гостевым аккаунтом не смогут получить доступ к зашифрованным файлам.

Требования к установке

  • Для совместной работы с внешними организациями в них также должно быть настроено шифрование на стороне клиента в консоли администратора или в файле .well-known.
  • Внешний сервис шифрования должен добавить в список разрешенных сторонний сервис поставщика идентификационной информации для пользователей внешней организации, с которыми вы хотите делиться зашифрованными на стороне клиента файлами. Как правило, сервис поставщика идентификационной информации указан в общедоступном файле .well-known внешней организации (если он настроен). Если вы не можете его найти, обратитесь к администратору Google Workspace этой организации.

Другие требования

Внешним пользователям нужно поделиться идентификационной информацией. Сообщите администратору внешней организации, что ее пользователи должны предоставить свои токены аутентификации сервису управления ключами вашей организации. Только после этого у них будет возможность просматривать и изменять зашифрованный контент, который принадлежит вашей организации. В процессе аутентификации пользователь должен передать свой IP-адрес и другую информацию. Подробные сведения приведены в статье Токены аутентификации в справочнике по функциям API шифрования на стороне клиента.

Возможности пользователей при работе с шифрованием на стороне клиента

Когда вы настроите для организации шифрование на стороне клиента, пользователи, для которых вы включите эту функцию, смогут применять ее в указанных ниже сервисах.

Развернуть раздел  |  Свернуть все

Google Диск

Пользователи могут создавать зашифрованные на стороне клиента документы и таблицы с помощью редакторов Google Документов или шифровать файлы, которые загружают на Диск, например в формате PDF. Просматривать такие файлы могут только пользователи, у которых есть к ним доступ.

Диск для компьютеров

Диск для компьютеров показывает синхронизированные зашифрованные файлы в виде ярлыков в ОС Windows и в виде символических ссылок в ОС Mac. Если пользователь нажимает на ярлык или ссылку на зашифрованный файл Google Документов, Таблиц или Презентаций, открывается новое окно браузера.

Пользователям также доступны следующие возможности:

  • шифрование и загрузка локального файла;
  • чтение и изменение некоторых типов зашифрованных файлов, например PDF и Microsoft Office.

Важно! Если пользователь скачивает файл, зашифрованный на стороне клиента, и расшифровывает его в локальной папке, а эта папка синхронизируется с Диском, то на Диске файл будет храниться в незашифрованном виде.

Не храните на Диске конфиденциальную информацию в расшифрованном виде. Сообщите сотрудникам, работающим с Диском для компьютеров, что при использовании функции Скачать и расшифровать им не следует хранить расшифрованные файлы в локальных папках, которые синхронизируются с Диском.

Диск для Android и iOS

Пользователи могут просматривать или скачивать зашифрованные на стороне клиента файлы, которые хранятся на Диске, используя мобильные устройства. В частности, такая возможность доступна для файлов Microsoft Office (только на устройствах iOS) и PDF. Файлы Google Документов, Таблиц и Презентаций пока не поддерживаются.

Примечание. Чтобы посмотреть зашифрованные на стороне клиента файлы, на устройстве пользователя должно быть установлено совместимое средство чтения.

Не храните на Диске конфиденциальную информацию в расшифрованном виде. Сообщите сотрудникам, работающим с Диском для мобильных устройств, что при использовании функции Скачать и расшифровать им не следует хранить расшифрованные файлы в расположениях, которые синхронизируются с Диском.

Недоступность некоторых функций

Полный список функций Диска, которые не поддерживают зашифрованные на стороне клиента файлы, приведен в статье Как использовать зашифрованные файлы на Диске, в Документах, Таблицах и Презентациях. Вот некоторые из них:

  • проверка правописания и грамматики в редакторах Google Документов;
  • одновременное редактирование несколькими пользователями (однако одновременно просматривать зашифрованный документ может любое количество людей);
  • полнотекстовый поиск и предварительный просмотр;
  • комментарии;
  • шифрование и расшифровка файлов онлайн.

Дополнительные сведения о функциях и ограничениях шифрования на стороне клиента для Диска

Воспользуйтесь следующими ресурсами:

Gmail

Пользователи могут отправлять и получать зашифрованные на стороне клиента письма. При этом получатели и отправители могут находиться как внутри организации, так и за ее пределами.

Недоступность некоторых функций

Полный список функций Gmail, которые не поддерживают зашифрованные на стороне клиента файлы, приведен в статье Шифрование на стороне клиента в Gmail. Вот некоторые из них:

  • конфиденциальный режим;
  • отправка писем группам;
  • поиск по тексту письма (но пользователи смогут выполнять поиск по теме и имени получателя);
  • подписи;
  • печать;
  • мобильные приложения Gmail.

Кроме того, шифрование на стороне клиента в Gmail недоступно при делегировании (использовании общих почтовых ящиков).

Дополнительные сведения о функциях и ограничениях шифрования на стороне клиента для Gmail

Прочитайте статью о шифровании на стороне клиента в Gmail.

Google Календарь

В Календаре можно создавать мероприятия с зашифрованными на стороне клиента описаниями. Если вы включили для пользователей шифрование на стороне клиента на Диске и в Meet, то они могут прикреплять к мероприятию зашифрованные документы и создавать зашифрованные встречи. Если эта функция отключена для Диска и Meet, пользователи не могут добавлять прикрепленные файлы или встречи к мероприятиям, зашифрованным на стороне клиента.

Примечания

  • Пользователи могут шифровать только обычные мероприятия. Другие типы мероприятий, например "Не отвлекаться" и "Интервал", не поддерживают шифрование на стороне клиента.
  • Просматривать описания зашифрованных мероприятий можно только в Google Календаре.

Недоступность некоторых функций

Полный список функций Календаря, которые не поддерживают зашифрованные на стороне клиента файлы, приведен в статье О шифровании на стороне клиента в Календаре. Вот некоторые из них:

  • поиск по описаниям мероприятий;
  • шифрование и расшифровка мероприятий офлайн.

Дополнительные сведения о функциях и ограничениях шифрования на стороне клиента для Календаря

Подробная информация приведена в статье О шифровании на стороне клиента в Календаре.

Google Meet

Пользователи могут проводить зашифрованные на стороне клиента встречи. Для этого необходимо включить шифрование при планировании встречи в Google Календаре или при запуске мгновенной (незапланированной) встречи.

Недоступность некоторых функций

Полный список функций Meet, которые не поддерживают зашифрованные на стороне клиента файлы, приведен в статье Шифрование на стороне клиента в Meet. Вот некоторые из них:

  • записи;
  • прямые трансляции;
  • подключение по телефону;
  • опросы;
  • Jamboard;
  • оборудование для переговорных комнат (поддержка будет добавлена позже);
  • отправка приглашений пользователям за пределами организации (поддержка будет добавлена позже).

Дополнительные сведения о функциях и ограничениях шифрования на стороне клиента для Meet

Прочитайте статью об использовании шифрования на стороне клиента в Meet.

Журналы и отчеты о шифровании на стороне клиента

Вам доступны журналы действий администраторов и отчеты о действиях пользователей с файлами, зашифрованными на стороне клиента. Подробнее о том, как смотреть журналы и отчеты о шифровании на стороне клиента

Часто задаваемые вопросы о шифровании на стороне клиента

Развернуть раздел  |  Свернуть все

О шифровании

Где можно найти информацию о стандартном шифровании Google?
Сведения о стандартном шифровании, используемом Google, приведены на сайте Google Cloud.
Дополнительную информацию о стандартном шифровании в Gmail можно найти в статье Шифрование писем в Справочном центре Gmail.
Чем шифрование на стороне клиента отличается от сквозного шифрования?
При сквозном шифровании шифрование и расшифровка всегда выполняются на исходных и целевых устройствах, например на мобильных телефонах в случае обмена мгновенными сообщениями. Ключи шифрования создаются на стороне клиента, поэтому вы, как администратор, не можете управлять ключами и тем, кто их может использовать. Кроме того, вы не знаете, какой контент зашифровали пользователи.
При шифровании на стороне клиента шифрование и расшифровка также всегда выполняются на исходных и целевых устройствах, которыми в этом случае являются браузеры клиентов. Однако при этом клиенты используют ключи шифрования, которые генерируются облачным сервисом управления ключами и хранятся в нем, поэтому вы можете управлять ключами и доступом к ним. Например, вы можете отозвать доступ пользователя к ключам, даже если этот пользователь их создал. Кроме того, вы можете отслеживать зашифрованные файлы пользователей.

Настройка шифрования на стороне клиента

Какие сервисы управления ключами от партнеров можно использовать с шифрованием на стороне клиента?

Google сотрудничает с несколькими сервисами управления ключами. Их список приведен в статье Как настроить сервис управления ключами для шифрования на стороне клиента.

Можно ли использовать Google как сервис управления ключами?
Нет. Для настройки шифрования на стороне клиента в Google Workspace нужен внешний сервис управления ключами. При использовании шифрования на стороне клиента вы управляете собственными ключами шифрования, и у Google нет доступа к ним для расшифровки данных.
Можно ли использовать несколько сервисов управления ключами?
Да, вы можете использовать несколько сервисов управления ключами и выбирать, какой сервис использовать для того или иного организационного подразделения или группы. Кроме того, зашифрованный контент можно переносить из одного сервиса в другой.
Примечание. В консоли администратора можно настроить единый сервис управления ключами для шифрования на стороне клиента в Gmail. Другие способы управления ключами описаны в документации Google Workspace CSE API.
Можно ли перейти на другой сервис управления ключами?
Да, можно. В таком случае лучше всего перенести контент, зашифрованный с помощью текущего сервиса управления ключами, в новый сервис. Дополнительная информация приведена в разделе Если вы хотите перейти на новый сервис управления ключами.
Как выбрать пользователей и группы, которым будет предоставлен доступ к внешнему сервису управления ключами?
Для управления списком контроля доступа к ключам шифрования используется внешний сервис управления ключами. Список должен включать всех пользователей, которым нужно шифровать и расшифровывать (просматривать и изменять) контент. За дополнительной информацией обратитесь к поставщику услуг шифрования.
Кроме того, необходимо включить шифрование на стороне клиента для всех пользователей, которым требуется шифровать данные. Подробнее о том, как включить или отключить шифрование на стороне клиента для пользователей.
Как настроить шифрование на стороне клиента для общих дисков?
Вам не нужно отдельно настраивать шифрование на стороне клиента для общих дисков. Внешний сервис управления ключами, настроенный в консоли администратора, работает для файлов и в разделе "Мой диск", и на общих дисках.

Работа с контентом, зашифрованным на стороне клиента

Можно ли повторно зашифровать существующие файлы с использованием другого ключа шифрования?
Файлы, зашифрованные на стороне клиента, можно перенести в новый сервис управления ключами. Дополнительная информация приведена в разделе Если вы хотите перейти на новый сервис управления ключами.
Можно ли поменять шифрование файла на стандартное шифрование Google?
Эта возможность будет добавлена позже.
Как расшифровать экспортированные файлы Диска и письма?
Чтобы расшифровать зашифрованные на стороне клиента файлы, которые вы экспортировали с помощью инструмента "Экспорт данных" или Google Сейфа, можно использовать утилиту расшифровки с запуском из командной строки. Подробнее о том, как расшифровать экспортированные файлы, зашифрованные на стороне клиента
Поддерживает ли Google Сейф хранение, поиск и экспорт зашифрованных файлов и писем?
Да. Если вы используете версию Google Workspace, в которой предоставляется Google Сейф, вы можете использовать возможности хранения, поиска и экспорта зашифрованных на стороне клиента файлов Диска и писем Gmail в Сейфе.
Файлы, зашифрованные на стороне клиента, можно искать по их метаданным, таким как название и владелец. Нельзя выполнять поиск по контенту или типу файла, просматривать контент или скачивать его в режиме предварительного просмотра.
Дополнительные сведения можно найти в Справочном центре Google Сейфа.

Сканирование зашифрованных на стороне клиента файлов и писем

Проверяется ли зашифрованный на стороне клиента контент на наличие угроз безопасности на Диске и в Gmail?
Зашифрованные на стороне клиента файлы не сканируются на наличие таких угроз, как фишинг и вредоносное ПО, поскольку у серверов Google нет доступа к их содержимому.
Может ли функция DLP сканировать содержимое зашифрованных на стороне клиента файлов?
У функции защиты от потери данных (DLP) нет доступа к содержимому файлов, зашифрованных на стороне клиента. Однако ей доступны незашифрованные метаданные файла, например его название и ярлыки Диска, поэтому она может помочь предотвратить утечку конфиденциальных данных.

Переход на версию Google Workspace, в которой не поддерживается шифрование на стороне клиента

Что произойдет с зашифрованным контентом, если лицензии пользователей больше не включают шифрование на стороне клиента?
Если вы переведете пользователей на версию Google Workspace, в которой шифрование на стороне клиента не поддерживается, они по-прежнему смогут смотреть и редактировать зашифрованные объекты, такие как файлы и письма. Однако пользователи не смогут создавать новые объекты с шифрованием на стороне клиента.
Можно ли отключить для контента шифрование на стороне клиента, если я больше не хочу пользоваться этой функцией?
Чтобы расшифровать объекты, например файлы и письма, сначала экспортируйте их с помощью инструмента "Экспорт данных". Затем отключите шифрование на стороне клиента, используя утилиту decrypter.
Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.

true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
true
Поиск по Справочному центру
true
true
true
true
true
73010