Эта функция доступна в версиях Enterprise Plus, Education Standard и Education Plus. Сравнение версий
Здесь вы найдете ответы на самые распространенные вопросы о шифровании на стороне клиента в Google Workspace.
Развернуть раздел | Свернуть все
О шифровании
Где можно найти информацию о стандартном шифровании Google?
Сведения о стандартном шифровании, используемом Google, приведены на сайте Google Cloud.
Дополнительную информацию о стандартном шифровании в Gmail можно найти в статье Шифрование писем в Справочном центре Gmail.
Чем шифрование на стороне клиента отличается от сквозного шифрования?
При сквозном шифровании шифрование и расшифровка всегда выполняются на исходных и целевых устройствах, например на мобильных телефонах в случае обмена мгновенными сообщениями. Ключи шифрования создаются на стороне клиента, поэтому вы, как администратор, не можете управлять ключами и тем, кто их может использовать. Кроме того, вы не знаете, какой контент зашифровали пользователи.
При шифровании на стороне клиента шифрование и расшифровка также всегда выполняются на исходных и целевых устройствах, которыми в этом случае являются браузеры клиентов. Однако при этом клиенты используют ключи шифрования, которые генерируются облачным сервисом управления ключами и хранятся в нем, поэтому вы можете управлять ключами и доступом к ним. Например, вы можете отозвать доступ пользователя к ключам, даже если этот пользователь их создал. Кроме того, вы можете отслеживать зашифрованные файлы пользователей.
Использование шифрования на стороне клиента
Как пользователи могут шифровать данные с помощью шифрования на стороне клиента?
Пользователи могут включить шифрование на стороне клиента на поддерживаемых устройствах. Информация о том, как пользователи могут включить шифрование на стороне клиента в мобильных и веб-приложениях, приведена в статье Общие сведения об использовании шифрования на стороне клиента.
Возникают ли какие-либо ограничения при использовании шифрования на стороне клиента?
Да. Когда шифрование на стороне клиента включено, некоторые функции в сервисах Google недоступны. Подробная информация приведена в статье Общие сведения об использовании шифрования на стороне клиента.
Настройка шифрования на стороне клиента
Что такое ключи шифрования и как их получить?
Ключ шифрования используется для преобразования данных в нечитаемый формат, чтобы они казались случайными. Такой способ защиты сохраняет конфиденциальность данных. Чтобы прочитать зашифрованные данные, пользователю или приложению нужен ключ, с помощью которого их можно преобразовать в исходный формат.
Чтобы с помощью ключей шифрования добавить уровень защиты к данным Google Workspace организации, вы можете использовать сервис управления ключами, который сотрудничает с Google, или создать собственный сервис на основе CSE API от Google. Для Gmail вы также можете использовать аппаратные ключи шифрования на смарт-картах.
Какие сервисы управления ключами от партнеров можно использовать с шифрованием на стороне клиента?
Google сотрудничает с несколькими сервисами управления ключами. Их список приведен в статье Как настроить сервис управления ключами для шифрования на стороне клиента.
Можно ли использовать Google как сервис управления ключами?
Нет. Для настройки шифрования на стороне клиента в Google Workspace нужен внешний сервис управления ключами. При использовании шифрования на стороне клиента вы управляете собственными ключами шифрования, и у Google нет доступа к ним для расшифровки данных.
Можно ли использовать несколько сервисов управления ключами?
Да, вы можете использовать несколько сервисов управления ключами и выбирать, какой сервис использовать для того или иного организационного подразделения или группы. Кроме того, зашифрованный контент можно переносить из одного сервиса в другой.
Примечание. В консоли администратора можно настроить единый сервис управления ключами для шифрования на стороне клиента в Gmail. Другие способы управления ключами описаны в документации Google Workspace CSE API.
Можно ли использовать смарт-карты для шифрования на стороне клиента?
Да. Если сотрудники организации используют смарт-карты для доступа к различным помещениям и системам, вы можете настроить аппаратные ключи для шифрования на стороне клиента в Gmail. Requires having the Assured Controls add-on. Тогда пользователи смогут шифровать электронные письма с помощью смарт-карт, на которых хранится личный ключ шифрования. Подробнее о том, как настроить аппаратные ключи шифрования и управлять ими (только Gmail)…
Можно ли использовать в Gmail одновременно и сервис управления ключами, и аппаратные ключи шифрования?
Да. Вы можете настроить и сервис управления ключами, и аппаратные ключи для шифрования на стороне клиента в Gmail. Requires having the Assured Controls add-on. Кроме того, можно назначить и сервис управления ключами, и аппаратные ключи одним и тем же пользователям. Однако пользователь должен выбрать для Gmail один тип шифрования в зависимости от того, как вы настроили его закрытый ключ для Gmail. Подробнее о том, как загрузить ключи для шифрования на стороне клиента (только Gmail)…
Можно ли перейти на другой сервис управления ключами?
Да, можно. В таком случае лучше всего перенести контент, зашифрованный с помощью текущего сервиса управления ключами, в новый сервис. Подробные сведения приведены в разделе Если вы хотите перейти на новый сервис управления ключами.
Как выбрать пользователей и группы, которым будет предоставлен доступ к внешнему сервису управления ключами?
Для управления списком контроля доступа к ключам шифрования используется внешний сервис управления ключами. Список должен включать всех пользователей, которым нужно шифровать и расшифровывать (просматривать и изменять) контент. За дополнительной информацией обратитесь к поставщику услуг шифрования.
Кроме того, необходимо включить шифрование на стороне клиента для всех пользователей, которым требуется шифровать данные. Подробные сведения приведены в статье Как включить или отключить шифрование на стороне клиента.
Можно ли принудительно применить шифрование на стороне клиента для определенных пользователей?
Для Gmail, Google Диска и Календаря можно включить шифрование на стороне клиента по умолчанию для нужных организационных подразделений. Requires having the Assured Controls add-on.
Если вы включите шифрование на стороне клиента по умолчанию, пользователи все равно смогут отключить его.
Подробные сведения приведены в статье Как включить или отключить шифрование на стороне клиента.
Как настроить шифрование на стороне клиента для общих дисков?
Вам не нужно отдельно настраивать шифрование на стороне клиента для общих дисков. Внешний сервис управления ключами, настроенный в консоли администратора, работает для файлов и в разделе "Мой диск", и на общих дисках.
Что делать, если при настройке шифрования на стороне клиента поступает оповещение?
Если у вас возникает проблема с настройкой шифрования на стороне клиента, ознакомьтесь с документом Как просматривать сведения об оповещении.
Можно ли импортировать существующие письма и применить к ним шифрование на стороне клиента?
Да. Ознакомьтесь с информацией в статье Как перенести в Gmail письма в виде зашифрованных на стороне клиента объектов.
Можно ли предоставить внешним пользователям доступ к контенту организации, зашифрованному на стороне клиента?
Работа с контентом, зашифрованным на стороне клиента
Можно ли повторно зашифровать существующие файлы с использованием другого ключа шифрования?
Файлы, зашифрованные на стороне клиента, можно перенести в новый сервис управления ключами. Подробные сведения приведены в разделе Если вы хотите перейти на новый сервис управления ключами.
Можно ли поменять шифрование файла на стандартное шифрование Google?
Да. Вы можете удалить шифрование на стороне клиента из документа, таблицы или презентации Google. Подробнее о том, как удалить шифрование из документа…
Как расшифровать экспортированные файлы Диска и письма?
Чтобы расшифровать зашифрованные на стороне клиента файлы, которые вы экспортировали с помощью инструмента "Экспорт данных" или Google Сейфа, можно использовать утилиту расшифровки с запуском из командной строки. Подробнее о том, как расшифровать экспортированные файлы, зашифрованные на стороне клиента…
Поддерживает ли Google Сейф хранение, поиск и экспорт зашифрованных файлов и писем?
Да. Если вы используете версию Google Workspace, в которой предоставляется Google Сейф, вы можете использовать возможности хранения, поиска и экспорта зашифрованных на стороне клиента файлов Диска и писем Gmail в Сейфе.
Файлы, зашифрованные на стороне клиента, можно искать по их метаданным, таким как название и владелец. Нельзя выполнять поиск по контенту или типу файла, просматривать контент или скачивать его в режиме предварительного просмотра.
С подробными сведениями можно ознакомиться в Справочном центре Google Сейфа.
Сканирование зашифрованных на стороне клиента файлов и писем
Проверяется ли зашифрованный на стороне клиента контент на наличие угроз безопасности на Диске и в Gmail?
Зашифрованные на стороне клиента файлы не сканируются на наличие таких угроз, как фишинг и вредоносное ПО, поскольку у серверов Google нет доступа к их содержимому.
Может ли функция DLP сканировать содержимое зашифрованных на стороне клиента файлов?
У функции защиты от потери данных (DLP) нет доступа к содержимому файлов, зашифрованных на стороне клиента. Однако правила DLP нужны для того, чтобы:
- Сканировать незашифрованные метаданные файлов на Диске, например название файла и ярлыки Диска, что может помочь предотвратить утечку конфиденциальных данных.
- Сканировать файлы на Диске, чтобы определить наличие шифрования на стороне клиента. Для этого нужно выбрать условие правила Статус шифрования файла > Равно > Шифрование на стороне клиента или Не зашифровано на стороне клиента.
Подробнее о том, как создать правила и настраиваемые детекторы содержания в DLP для Диска…
Переход на версию Google Workspace, в которой не поддерживается шифрование на стороне клиента
Что произойдет с зашифрованным контентом, если лицензии пользователей больше не включают шифрование на стороне клиента?
Если вы переведете пользователей на версию Google Workspace, в которой шифрование на стороне клиента не поддерживается, они по-прежнему смогут смотреть и редактировать зашифрованные объекты, такие как файлы и письма. Однако пользователи не смогут создавать новые объекты с шифрованием на стороне клиента.
Можно ли отключить для контента шифрование на стороне клиента, если я больше не хочу пользоваться этой функцией?
Чтобы расшифровать объекты, например файлы и письма, сначала экспортируйте их с помощью инструмента "Экспорт данных". Затем отключите шифрование на стороне клиента, используя утилиту decrypter.