Edisi yang didukung untuk fitur ini: Enterprise Plus; Education Standard dan Education Plus. Bandingkan edisi
Di sini Anda dapat menemukan jawaban atas pertanyaan umum tentang Google Workspace Enkripsi sisi klien (CSE).
Tentang enkripsi
Di mana saya dapat menemukan informasi tentang enkripsi default milik Google?
Untuk mengetahui detail tentang enkripsi default milik Google, buka situs Google Cloud.
Guna mengetahui detail tambahan tentang enkripsi standar untuk Gmail, buka Enkripsi data dalam pengiriman di Pusat Bantuan Gmail.
Apa perbedaan CSE dengan enkripsi end-to-end (e2e)?
Dengan enkripsi end-to-end (e2e), enkripsi dan dekripsi selalu terjadi di perangkat sumber dan tujuan (seperti di ponsel untuk fitur pesan instan). Kunci enkripsi dibuat di perangkat klien. Jadi, sebagai administrator, Anda tidak memiliki kontrol atas kunci pada perangkat tersebut dan orang yang dapat menggunakannya. Selain itu, Anda tidak memiliki visibilitas ke konten yang telah dienkripsi pengguna.
Dengan enkripsi sisi klien (CSE), enkripsi dan dekripsi juga selalu terjadi di perangkat sumber dan tujuan, yang dalam hal ini adalah browser klien. Namun, dengan CSE, klien menggunakan kunci enkripsi yang dibuat dan disimpan di key management service berbasis cloud, sehingga Anda dapat mengontrol kunci tersebut dan mengontrol siapa yang memiliki akses. Misalnya, Anda dapat mencabut akses pengguna ke kunci, meskipun jika kunci dibuat oleh pengguna tersebut. Selain itu, dengan CSE, Anda dapat memantau file terenkripsi milik pengguna.
Memahami pengalaman pengguna CSE
Bagaimana cara pengguna mengenkripsi data menggunakan CSE?
Pengguna dapat memilih opsi di layanan yang didukung untuk mengaktifkan CSE. Untuk mengetahui informasi selengkapnya tentang cara pengguna mengaktifkan CSE di aplikasi web dan seluler, buka Ringkasan pengalaman pengguna enkripsi sisi klien.
Apakah ada batasan bagi pengguna saat menggunakan CSE?
Ya, beberapa fitur di layanan Google tidak tersedia saat CSE diaktifkan. Untuk mengetahui informasi selengkapnya, buka Ringkasan pengalaman pengguna enkripsi sisi klien.
Menyiapkan CSE
Apa itu kunci enkripsi dan bagaimana cara mendapatkannya?
Kunci enkripsi digunakan untuk mengubah data ke dalam format yang tidak dapat dibaca sehingga tampak acak. Tindakan ini menjaga privasi data dari siapa pun atau apa pun yang tidak disetujui untuk membacanya. Untuk membaca data terenkripsi, individu atau aplikasi memerlukan kunci untuk mengonversi data kembali ke format aslinya.
Agar dapat menggunakan kunci enkripsi untuk menambahkan lapisan enkripsi ke data Google Workspace organisasi, Anda harus menggunakan key management service yang berpartner dengan Google atau membuat layanan kunci enkripsi Anda sendiri menggunakan CSE API Google. Atau, khusus untuk Gmail, Anda dapat menggunakan enkripsi kunci hardware, yang menyimpan kunci enkripsi pengguna di kartu smart.
Key management services partner mana yang dapat saya gunakan dengan CSE?
Google telah berpartner dengan beberapa key management service untuk digunakan dengan CSE: Untuk mengetahui daftar layanan, buka Menyiapkan layanan kunci enkripsi untuk enkripsi sisi klien.
Dapatkah saya menggunakan Google sebagai key management service saya?
Tidak, Anda harus menggunakan key management service eksternal untuk menyiapkan Enkripsi sisi klien Google Workspace. Dengan CSE, Anda mengontrol kunci enkripsi Anda sendiri, dan Google tidak dapat mengaksesnya untuk mendekripsi data Anda.
Dapatkah saya menggunakan beberapa layanan kunci enkripsi?
Ya, Anda dapat menggunakan lebih dari satu layanan kunci enkripsi dan memilih layanan mana yang akan digunakan untuk unit organisasi atau grup. Atau, Anda dapat memigrasikan konten terenkripsi dari satu layanan ke layanan lainnya.
Catatan: Di konsol Admin, Anda dapat menyiapkan satu layanan kunci enkripsi untuk enkripsi sisi klien Gmail. Pelajari opsi lain untuk mengelola kunci di API Enkripsi Sisi Klien Google Workspace .
Dapatkah saya menggunakan kartu smart dengan CSE?
Ya, jika organisasi Anda menggunakan kartu smart untuk mengakses fasilitas dan sistem, Anda dapat menyiapkan enkripsi kunci hardware untuk CSE Gmail. Requires having the Assured Controls add-on. Pengguna dapat menggunakan kartu smart, yang berisi kunci enkripsi pribadi, untuk mengenkripsi pesan email. Untuk mengetahui detailnya, buka Khusus Gmail: Menyiapkan dan mengelola enkripsi kunci hardware untuk enkripsi sisi klien.
Dapatkah saya menggunakan layanan kunci enkripsi dan kunci enkripsi hardware untuk Gmail?
Ya, Anda dapat menyiapkan layanan kunci enkripsi dan kunci enkripsi hardware untuk CSE Gmail. Requires having the Assured Controls add-on. Anda juga dapat menetapkan layanan kunci enkripsi dan enkripsi kunci hardware ke pengguna yang sama. Namun, pengguna hanya dapat menggunakan satu jenis enkripsi untuk Gmail, yang bergantung pada cara Anda menyiapkan kunci enkripsi pribadi pengguna untuk Gmail. Untuk mengetahui detailnya, buka Khusus Gmail: Mengupload kunci enkripsi untuk enkripsi sisi klien.
Dapatkah saya beralih ke layanan kunci enkripsi lain?
Ya, Anda dapat beralih ke layanan kunci enkripsi lain. Jika Anda melakukannya, praktik terbaiknya adalah memigrasikan konten yang dienkripsi dengan layanan kunci enkripsi Anda saat ini ke layanan baru. Untuk mengetahui detailnya, buka Jika Anda ingin beralih ke layanan kunci enkripsi baru.
Bagaimana cara membatasi pengguna atau grup yang memiliki akses ke layanan kunci enkripsi eksternal saya?
Anda mengelola daftar kontrol akses kunci (KACL) untuk kunci enkripsi melalui layanan kunci enkripsi eksternal Anda. KACL Anda harus menyertakan semua pengguna yang perlu mengenkripsi atau mendekripsi (melihat atau mengedit) konten. Hubungi penyedia enkripsi Anda untuk mengetahui informasi selengkapnya.
Selain itu, Anda perlu mengaktifkan CSE untuk pengguna yang perlu mengenkripsi data. Untuk mengetahui detailnya, buka Mengaktifkan atau menonaktifkan enkripsi sisi klien untuk pengguna.
Dapatkah saya menerapkan penggunaan CSE untuk pengguna tertentu?
Untuk Gmail, Google Drive, dan Google Kalender, Anda dapat menentukan bahwa CSE diaktifkan secara default untuk unit organisasi tertentu. Requires having the Assured Controls add-on.
Jika Anda menentukan bahwa CSE diaktifkan secara default, pengguna tetap dapat menonaktifkan CSE jika diperlukan.
Untuk mengetahui detailnya, buka Mengaktifkan atau menonaktifkan enkripsi sisi klien untuk pengguna.
Bagaimana cara menyiapkan CSE untuk drive bersama?
Anda tidak perlu menyiapkan CSE khusus untuk drive bersama. Layanan kunci enkripsi eksternal yang Anda siapkan di konsol Admin berfungsi untuk file di Drive Saya dan drive bersama.
Bagaimana jika saya mendapatkan pemberitahuan saat menyiapkan CSE?
Jika ada masalah terkait penyiapan CSE, buka Melihat detail pemberitahuan untuk mengetahui informasi selengkapnya.
Dapatkah saya mengizinkan pengguna eksternal mengakses konten terenkripsi sisi klien milik organisasi kami?
Bekerja dengan konten terenkripsi sisi klien
Dapatkah saya mengenkripsi ulang file yang ada dengan kunci enkripsi yang berbeda?
Anda dapat memigrasikan file terenkripsi sisi klien ke layanan kunci enkripsi baru. Untuk mengetahui detailnya, buka Jika Anda ingin beralih ke layanan kunci enkripsi baru.
Dapatkah saya beralih enkripsi untuk sebuah file ke enkripsi default milik Google?
Ya, Anda dapat menghapus enkripsi sisi klien dari dokumen, spreadsheet, atau presentasi Google. Untuk mengetahui detailnya, buka Menghapus enkripsi dari dokumen.
Bagaimana cara mendekripsi email dan file Drive yang diekspor?
Untuk mendekripsi file CSE yang diekspor menggunakan alat Ekspor Data atau Google Vault, Anda dapat menggunakan pendekripsi, yang merupakan sebuah aplikasi utilitas command line. Untuk mengetahui detailnya, buka Mendekripsi file terenkripsi sisi klien yang diekspor.
Dapatkah saya mempertahankan, menelusuri, serta mengekspor file dan email terenkripsi di Google Vault?
Ya, jika edisi Google Workspace Anda memiliki Google Vault, Anda dapat mempertahankan, menelusuri, dan mengekspor file Drive yang dienkripsi sisi klien dan email Gmail di Vault.
Anda dapat menelusuri file yang dienkripsi sisi klien berdasarkan metadatanya, seperti judul dan pemilik. Namun, Anda tidak dapat menelusuri kontennya, menelusuri berdasarkan jenis file, melihat pratinjau konten, atau mendownload dari tampilan pratinjau.
Untuk mengetahui detailnya, buka Pusat Bantuan Google Vault.
Memindai file dan email terenkripsi sisi klien
Apakah Drive dan Gmail otomatis memindai konten terenkripsi sisi klien untuk mengidentifikasi ancaman keamanan?
Email dan file terenkripsi sisi klien tidak dipindai untuk mendeteksi phishing dan malware karena server Google tidak memiliki akses ke konten tersebut.
Dapatkah saya menjalankan pemindaian DLP untuk konten dalam email atau file terenkripsi sisi klien?
Pemindaian pencegahan kebocoran data (DLP) tidak dapat mengakses konten terenkripsi sisi klien dalam file atau email. Namun, Anda dapat membuat aturan DLP untuk:
- Memindai metadata file Drive yang tidak dienkripsi seperti judul file dan label Drive. Tindakan ini dapat membantu mencegah kebocoran data sensitif.
- Memindai file Drive guna mengetahui apakah file tersebut terenkripsi sisi klien atau tidak, dengan memilih kondisi aturan Status enkripsi file > Adalah > Dienkripsi sisi klien atau Tidak dienkripsi sisi klien.
Guna mengetahui detail tentang cara membuat aturan DLP untuk Drive, buka Membuat aturan DLP untuk Drive dan pendeteksi konten kustom.
Beralih ke edisi Google Workspace yang tidak mendukung CSE
Apa yang terjadi pada konten terenkripsi jika lisensi pengguna tidak lagi memiliki CSE?
Jika Anda mengalihkan pengguna ke lisensi Google Workspace yang tidak menyertakan CSE, mereka masih dapat mengakses dan mengedit item terenkripsi sisi klien, seperti file dan email. Namun, pengguna tidak dapat membuat item terenkripsi sisi klien baru.
Dapatkah saya menghapus enkripsi dari konten jika tidak ingin lagi menggunakan CSE?
Jika ingin berhenti menggunakan CSE dan mendekripsi item seperti file dan email, Anda harus mengekspor item tersebut terlebih dahulu menggunakan alat Ekspor Data. Kemudian, gunakan aplikasi utilitas pendekripsi untuk menghapus CSE.
