Encriptación de datos y claves de encriptación

En este tema, se proporciona información sobre la encriptación de datos en Google Cloud y sobre las claves de encriptación.

Encriptación de datos en tránsito y en reposo

Google Cloud habilita la encriptación en tránsito de forma predeterminada para encriptar solicitudes antes de la transmisión y proteger los datos sin procesar mediante el protocolo de seguridad de la capa de transporte (TLS).

Una vez que los datos se transfieren a Google Cloud para almacenarlos, Google Cloud aplica la encriptación en reposo de forma predeterminada. Para tener más control sobre cómo se encriptan los datos en reposo, los clientes de Google Cloud pueden usar Cloud Key Management Service a fin de generar, usar, rotar y destruir claves de encriptación según sus propias políticas. Estas claves se denominan claves de encriptación administradas por el cliente (CMEK).

Para ciertos regímenes de cumplimiento, Assured Workloads puede implementar un proyecto de CMEK junto con el proyecto de recursos durante la creación del entorno de carga de trabajo.

Como alternativa a las CMEK, las claves de encriptación administradas por Google, que se proporcionan de forma predeterminada, cumplen con FIPS-140-2 y pueden respaldar el cumplimiento con FedRAMP Moderate. Los clientes pueden borrar el proyecto de CMEK y depender solo de las claves administradas por Google. Sin embargo, te recomendamos que decidas si usarás claves CMEK antes de crear el entorno de Assured Workloads, ya que la eliminación de las CMEK existentes en uso puede provocar la imposibilidad de acceder a los datos o recuperarlos.

Claves de encriptación administradas por el cliente (CMEK)

Si necesitas más control sobre las claves que se usan para encriptar los datos en reposo en un proyecto de Google Cloud de lo que proporciona la encriptación predeterminada de Google Cloud, los servicios de Google Cloud ofrecen la capacidad de proteger los datos mediante claves de encriptación administradas por el cliente dentro de Cloud KMS. Estas claves de encriptación se denominan claves de encriptación administradas por el cliente (CMEK).

Para saber qué aspectos del ciclo de vida y administración de las claves proporciona CMEK, consulta Claves de encriptación administradas por el cliente (CMEK) en la documentación de Cloud KMS. Para ver un instructivo que te ayude a administrar claves y datos encriptados mediante Cloud KMS, consulta la guía de inicio rápido o el codelab.

¿Qué sigue?