Crittografia dei dati e chiavi di crittografia

Questa pagina fornisce informazioni sulla crittografia dei dati su Google Cloud e sulle chiavi di crittografia.

Crittografia dei dati in transito e a riposo

Google Cloud attiva per impostazione predefinita la crittografia dei dati in transito per criptare le richieste prima della trasmissione e per proteggere i dati non elaborati mediante il protocollo TLS (Transport Layer Security).

Una volta che i dati sono stati trasferiti in Google Cloud per essere archiviati, Google Cloud applica la crittografia at-rest predefinito. Per avere un maggiore controllo sulle modalità di crittografia at-rest dei dati, I clienti Google Cloud possono utilizzare Cloud Key Management Service per generare, utilizzare ruotare ed eliminare le chiavi di crittografia in base ai propri criteri. Queste chiavi sono chiamate chiavi di crittografia gestite dal cliente (CMEK).

Per alcuni pacchetti di controllo, Assured Workloads può eseguire il deployment di un progetto CMEK insieme al tuo progetto di risorse quando crei una cartella Assured Workloads.

Come alternativa alle chiavi CMEK, le chiavi di proprietà e gestite da Google, fornite per impostazione predefinita, sono conformi a FIPS-140-2 e sono in grado di supportare la maggior parte dei pacchetti di controllo in Assured Workloads. I clienti possono eliminare il progetto CMEK e fare affidamento esclusivamente sulle chiavi di proprietà di Google e di quelle gestite da Google. Ti consigliamo, tuttavia, di decidere se utilizza le chiavi CMEK prima di creare la cartella Assured Workloads come l'eliminazione della CMEK in uso esistente può comportare l'impossibilità di accedere o recuperare e i dati di Google Cloud.

Chiavi di crittografia gestite dal cliente (CMEK)

Se hai bisogno di un maggiore controllo sulle chiavi utilizzate per criptare i dati inattivi all'interno di un progetto Google Cloud rispetto a quanto fornito dalla crittografia predefinita di Google Cloud, i servizi Google Cloud offrono la possibilità di proteggere i dati utilizzando le chiavi di crittografia gestite dal cliente all'interno di Cloud KMS. Queste sono chiamate chiavi di crittografia gestite dal cliente (CMEK).

Per scoprire quali aspetti del ciclo di vita e della gestione delle chiavi sono supportati dalle chiavi CMEK, consulta la sezione Chiavi di crittografia gestite dal cliente (CMEK) nella documentazione di Cloud KMS. Per un tutorial che ti guida nella per la gestione di chiavi e dati criptati con Cloud KMS, consulta guida rapida oppure codelab.

Passaggi successivi