Google上周宣布生产力服务Workspace新增AI为基础的安全功能，以降低资料外泄风险及符合欧美法规。Google Workspace同时加入某些功能需2名管理员同意，以及强制某些用户管理员帐号启用2步骤验证。

Google引用第三方报告指出，Workspace加入企业安全功能後，在被滥用的已知漏洞、电子邮件安全事件，以及因资安事件衍生保险支出方面，和主流旧式（如微软）方案相比都大幅减少。为此Google Workspace持续扩充以AI为基础的零信任（zero-trust）、数位主权及威胁防护控制，以确保企业资料安全。

在AI为基础的零信任安全功能方面，首先，Google Drive将加入AI资料分类标签及情境式资料外泄防护（DLP）。管理员可设定AI模型自动为Drive的档案加标签及分类，并且设定情境感知存取（context-aware access，CAA）政策，例如按装置所在地点或安全状态决定员工能否把敏感资料分享出去。之後AI即可按企业安全政策为资料分类、标签，并实行资料外泄防护及资料存取管制。AI资料分类及标签现在已经开放预览版测试，情境式DLP则会在几个月内开放测试。

图片来源_Google

第三项则是为Gmail强化DLP，允许管理员控制员工对内、对外如何分享敏感资料，也将在几个月後开放预览测试。

在资料主权（data sovereignty）功能方面，首先，Workspace将新增多项用户端加密（client-side encryption，CSE）功能。CSE是指从用户端即加密资料再传送出去，只有发送者拥有加密金钥，因此即使伺服器端或服务供应商都无法存取敏感资料。在最新的宣布中，Google Calendar、Gmail和Meet行动版App已正式支援CSE，现在正在测试於Workspace中读取编辑Microsoft Excel档案。此外Google预定今年内预览3项CSE功能，包括特定组织单位预设启用CSE、及Google Docs评论、外部用户以Guest身分加入Meet通话时支援CSE。

图片来源_Google

Google也将允许CSE用户选择加密金钥和资料储存的位置。在前者中，Google和安全厂商Thales、Stormshield及Flowcrypt合作，让CSE用户得以选择将加密金钥储存在属意的国家以满足法规。今年稍晚，Workspace也会以预览版测试让企业选择资料处理（欧盟或美国），以及Workspace备份储存的地点所在。

另外，Workspace也让企业控制Google技术支援可存取哪些资料、监控Google的行为，并让美国企业设定只允许美国Google支援。今年稍晚则将允许欧盟企业限定欧盟地区的支援。

最後，为防止管理员遭到钓鱼攻击致Workspace帐号被接管，Workspace将在今年内预览一项新功能，Workspace允许管理员设定某些敏感行为，如变更2SV设定，需获得另一名管理员同意。其次，Google也要求某些Workspace企业管理员帐号强制启用两步骤验证（2-step verification，2SV），今年稍晚将从最大型企业用户，以及Google经销商开始执行。

图片来源_Google

Google上周并另外发布2项预览功能，包括以AI为基础的Gmail电子邮件过滤或转寄之防护，以及将Workspace log纪录汇出到Chronicle，以判断可能的异常活动。

所有预告的Workspace安全功能，现在已开放企业管理员免费试用。Google并将在下个月的Next ‘ 23大会上正式发表。