Datenverschlüsselung und Verschlüsselungsschlüssel
Auf dieser Seite finden Sie Informationen zur Verschlüsselung von Daten in Google Cloud und zu Verschlüsselungsschlüsseln.
Verschlüsselung für gespeicherte und übertragene Daten
Google Cloud aktiviert die Verschlüsselung bei der Übertragung standardmäßig, um Anfragen vor der Übertragung zu verschlüsseln und die Rohdaten mit dem TLS-Protokoll (Transport Layer Security) zu schützen.
Sobald die Daten zur Speicherung in Google Cloud übertragen wurden, wendet Google Cloud standardmäßig die Verschlüsselung ruhender Daten an. Um mehr Kontrolle darüber zu erhalten, wie ruhende Daten verschlüsselt werden, können Google Cloud-Kunden Cloud Key Management Service verwenden, um Verschlüsselungsschlüssel gemäß ihren eigenen Richtlinien zu generieren, zu verwenden, zu rotieren und zu löschen. Diese Schlüssel heißen daher vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK).
Für bestimmte Steuerpakete kann Assured Workloads-Projekt zusammen mit Ihrem Ressourcenprojekt ein CMEK-Projekt bereitstellen, wenn Sie einen Assured Workloads-Ordner erstellen.
Als Alternative zu CMEK sind von Google verwaltete Verschlüsselungsschlüssel, die standardmäßig bereitgestellt werden, FIPS-140-2-konform und unterstützen die meisten Steuerpakete in Assured Workloads. Kunden können das CMEK-Projekt löschen und sich ausschließlich auf von Google verwaltete Schlüssel verlassen. Wir empfehlen Ihnen jedoch, vor dem Erstellen des Assured Workloads-Ordners zu entscheiden, ob Sie CMEK-Schlüssel verwenden möchten, da das Löschen vorhandener, verwendeter CMEK dazu führen kann, dass Sie nicht mehr auf Daten zugreifen oder diese wiederherstellen können.
Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)
Wenn Sie in einem Google Cloud-Projekt mehr Kontrolle über die Schlüssel brauchen, die zur Verschlüsselung von ruhenden Daten verwendet werden, als bei der Standardverschlüsselung von Google Cloud verfügbar ist, bieten Google Cloud-Dienste die Möglichkeit, Daten mit vom Kunden in Cloud KMS verwalteten Verschlüsselungsschlüsseln zu schützen. Diese Verschlüsselungsschlüssel heißen vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs).
Informationen zu den Aspekten des Lebenszyklus und der Verwaltung Ihrer Schlüssel, für die CMEKs genutzt werden können, finden Sie in der Cloud KMS-Dokumentation unter Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs). Eine Anleitung zur Verwaltung von Schlüsseln und verschlüsselten Daten mit Cloud KMS finden Sie in der quickstart oder im Codelab.