Encriptación de datos y claves de encriptación

En esta página, se proporciona información sobre la encriptación de datos en Google Cloud y las claves de encriptación.

Encriptación de datos en tránsito y en reposo

Google Cloud habilita la encriptación en tránsito de forma predeterminada para encriptar solicitudes antes de la transmisión y proteger los datos sin procesar mediante el protocolo de seguridad de la capa de transporte (TLS).

Una vez que los datos se transfieren a Google Cloud para almacenarlos, Google Cloud aplica la encriptación en reposo de forma predeterminada. Para tener más control sobre cómo se encriptan los datos en reposo, los clientes de Google Cloud pueden usar Cloud Key Management Service para generar, usar, rotar y destruir las claves de encriptación según corresponda a sus propias políticas. Estas claves se denominan claves de encriptación administradas por el cliente (CMEK).

Para ciertos paquetes de control, Assured Workloads puede implementar un proyecto de CMEK junto con tu proyecto de recursos cuando creas una carpeta de Assured Workloads.

Como alternativa a las CMEK, las claves de propiedad y administración de Google, que se proporcionan de forma predeterminada, cumplen con el estándar FIPS-140-2 y pueden admitir la mayoría de los paquetes de control en Assured Workloads. Los clientes pueden borrar el proyecto CMEK y depender solo de las claves de Google y las que administra Google. Sin embargo, te recomendamos que decidas si usar claves CMEK antes de crear tu carpeta de Assured Workloads, ya que la eliminación de las CMEK en uso existentes puede hacer que no puedas acceder a los datos o recuperarlos.

Claves de encriptación administradas por el cliente (CMEK)

Si necesitas más control sobre las claves que se usan para encriptar los datos en reposo en un proyecto de Google Cloud de lo que proporciona la encriptación predeterminada de Google Cloud, los servicios de Google Cloud ofrecen la capacidad de proteger los datos mediante claves de encriptación administradas por el cliente dentro de Cloud KMS. Estas claves de encriptación se denominan claves de encriptación administradas por el cliente (CMEK).

Para saber qué aspectos del ciclo de vida y administración de las claves proporciona CMEK, consulta Claves de encriptación administradas por el cliente (CMEK) en la documentación de Cloud KMS. Para ver un instructivo que te ayude a administrar claves y datos encriptados mediante Cloud KMS, consulta la quickstart o el codelab.

¿Qué sigue?