Encriptación de datos y claves de encriptación
En esta página, se proporciona información sobre la encriptación de datos en Google Cloud y sobre las claves de encriptación.
Encriptación de datos en tránsito y en reposo
Google Cloud habilita la encriptación en tránsito de forma predeterminada para encriptar solicitudes antes de la transmisión y proteger los datos sin procesar mediante el protocolo de seguridad de la capa de transporte (TLS).
Una vez que los datos se transfieren a Google Cloud para almacenarlos, Google Cloud aplica la encriptación en reposo de forma predeterminada. Para tener más control sobre cómo se encriptan los datos en reposo, los clientes de Google Cloud pueden usar Cloud Key Management Service para generar, usar, rotar y destruir las claves de encriptación según corresponda a sus propias políticas. Estas claves se denominan claves de encriptación administradas por el cliente (CMEK).
Para ciertos paquetes de control, Assured Workloads puede implementar una CMEK proyecto junto con tu proyecto de recursos cuando creas una carpeta de Assured Workloads.
Como alternativa a las CMEK, las claves que pertenecen a Google y que administra Google, que se proporcionan de forma predeterminada, son compatibles con FIPS-140-2 y pueden admitir la mayoría de los paquetes de control en Assured Workloads. Los clientes pueden borrar el proyecto CMEK y confiar solo en claves que son propiedad de Google y claves administradas por Google. Sin embargo, te recomendamos que decidas si usa claves CMEK antes de crear tu carpeta de Assured Workloads como la eliminación de las CMEK en uso existentes puede causar que no se pueda acceder a ellas o recuperarlas de datos no estructurados.
Claves de encriptación administradas por el cliente (CMEK)
Si necesitas más control sobre las claves que se usan para encriptar los datos en reposo en un proyecto de Google Cloud de lo que proporciona la encriptación predeterminada de Google Cloud, los servicios de Google Cloud ofrecen la capacidad de proteger los datos mediante claves de encriptación administradas por el cliente dentro de Cloud KMS. Estas claves de encriptación se denominan claves de encriptación administradas por el cliente (CMEK).
Para saber qué aspectos del ciclo de vida y administración de las claves proporciona CMEK, consulta Claves de encriptación administradas por el cliente (CMEK) en la documentación de Cloud KMS. Para ver un instructivo que te ayude a administrar claves y datos encriptados mediante Cloud KMS, consulta la guía de inicio rápido o el codelab.
¿Qué sigue?
- Obtén más información para crear una clave simétrica con Cloud KMS.