Datenverschlüsselung und Verschlüsselungsschlüssel

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Dieses Thema enthält Informationen zur Verschlüsselung von Daten in Google Cloud und zu Verschlüsselungsschlüsseln.

Verschlüsselung für gespeicherte und übertragene Daten

Google Cloud aktiviert die Verschlüsselung bei der Übertragung standardmäßig, um Anfragen vor der Übertragung zu verschlüsseln und die Rohdaten mit dem TLS-Protokoll (Transport Layer Security) zu schützen.

Sobald die Daten zur Speicherung in Google Cloud übertragen wurden, wendet Google Cloud standardmäßig die Verschlüsselung ruhender Daten an. Um mehr Kontrolle darüber zu erhalten, wie ruhende Daten verschlüsselt werden, können Google Cloud-Kunden Cloud Key Management Service verwenden, um Verschlüsselungsschlüssel gemäß ihren eigenen Richtlinien zu generieren, zu verwenden, zu rotieren und zu löschen. Diese Schlüssel heißen daher vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs).

Bei bestimmten Complianceregelungen kann Assured Workloads während der Erstellung der Arbeitslastumgebung ein CMEK-Projekt zusammen mit Ihrem Ressourcenprojekt bereitstellen.

Als Alternative zu CMEK gibt es von Google verwaltete Verschlüsselungsschlüssel, die standardmäßig bereitgestellt werden, FIPS-140-2-konform sind und FedRAMP Moderate-Compliance unterstützen können. Kunden können das CMEK-Projekt löschen und sich ausschließlich auf von Google verwaltete Schlüssel verlassen. Wir empfehlen Ihnen jedoch, vor dem Erstellen Ihrer Assured Workloads-Umgebung zu entscheiden, ob Sie CMEKs verwenden möchten, da das Löschen vorhandener CMEKs es unmöglich machen kann, auf Daten zuzugreifen oder sie wiederherzustellen.

Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)

Wenn Sie in einem Google Cloud-Projekt mehr Kontrolle über die Schlüssel brauchen, die zur Verschlüsselung von ruhenden Daten verwendet werden, als bei der Standardverschlüsselung von Google Cloud verfügbar ist, bieten Google Cloud-Dienste die Möglichkeit, Daten mit vom Kunden in Cloud KMS verwalteten Verschlüsselungsschlüsseln zu schützen. Diese Verschlüsselungsschlüssel heißen vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs).

Informationen zu den Aspekten des Lebenszyklus und der Verwaltung Ihrer Schlüssel, für die CMEKs genutzt werden können, finden Sie in der Cloud KMS-Dokumentation unter Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs). Eine Anleitung zur Verwaltung von Schlüsseln und verschlüsselten Daten mit Cloud KMS finden Sie in der Kurzanleitung oder im Codelab.

Nächste Schritte