Datenverschlüsselung und Verschlüsselungsschlüssel
Auf dieser Seite finden Sie Informationen zur Verschlüsselung von Daten in Google Cloud und zu Verschlüsselungsschlüsseln.
Verschlüsselung für gespeicherte und übertragene Daten
Google Cloud aktiviert standardmäßig die Verschlüsselung bei der Übertragung, um Anfragen vor der Übertragung zu verschlüsseln und die Rohdaten mit dem TLS-Protokoll (Transport Layer Security) zu schützen.
Sobald die Daten zur Speicherung in Google Cloud übertragen wurden, Google Cloudwendet Google Cloudstandardmäßig die Verschlüsselung ruhender Daten an. Um mehr Kontrolle darüber zu erhalten, wie ruhende Daten verschlüsselt werden, könnenGoogle Cloud Kunden Cloud Key Management Service verwenden, um Verschlüsselungsschlüssel gemäß ihren eigenen Richtlinien zu generieren, zu verwenden, zu rotieren und zu löschen. Diese Schlüssel heißen daher vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK).
Bei bestimmten Steuerpaketen kann Assured Workloads beim Erstellen eines Assured Workloads-Ordners ein CMEK-Projekt zusammen mit Ihrem Ressourcenprojekt bereitstellen.
Als Alternative zu CMEK gibt es standardmäßig bereitgestellte Google-owned and Google-managed encryption keys, die FIPS-140-2-konform sind und die meisten Kontrollpakete in Assured Workloads unterstützen können. Kunden können das CMEK-Projekt löschen und sich ausschließlich auf Google-owned and Google-managed encryption keysverlassen. Wir empfehlen Ihnen jedoch, vor dem Erstellen Ihres Assured Workloads-Ordners zu entscheiden, ob Sie CMEKs verwenden möchten, da das Löschen vorhandener CMEKs es unmöglich machen kann, auf Daten zuzugreifen oder sie wiederherzustellen.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Wenn Sie in einemGoogle Cloud -Projekt mehr Kontrolle über die Schlüssel benötigen, die zur Verschlüsselung von ruhenden Daten verwendet werden, als bei der Standardverschlüsselung von Google Cloudverfügbar ist, bieten Google Cloud -Dienste die Möglichkeit, Daten mit vom Kunden in Cloud KMS verwalteten Verschlüsselungsschlüsseln zu schützen. Diese Verschlüsselungsschlüssel heißen vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs).
Informationen zu den Aspekten des Lebenszyklus und der Verwaltung Ihrer Schlüssel, für die CMEKs genutzt werden können, finden Sie in der Cloud KMS-Dokumentation unter Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs). Eine Anleitung zur Verwaltung von Schlüsseln und verschlüsselten Daten mit Cloud KMS finden Sie in der Kurzanleitung oder im Codelab.