Crittografia dei dati e chiavi di crittografia

Questa pagina fornisce informazioni sulla crittografia dei dati su Google Cloud e sulle chiavi di crittografia.

Crittografia dei dati in transito e a riposo

Google Cloud attiva per impostazione predefinita la crittografia in transito per criptare le richieste prima della trasmissione e per proteggere i dati non elaborati mediante il protocollo TLS (Transport Layer Security).

Una volta che i dati vengono trasferiti in Google Cloud per essere archiviati, Google Cloud viene applicata la crittografia dei dati inattivi per impostazione predefinita. Per ottenere un maggiore controllo sulla crittografia dei dati a riposo, Google Cloud i clienti possono utilizzare Cloud Key Management Service per generare, utilizzare, ruotare e distruggere le chiavi di crittografia in base alle proprie norme. Queste chiavi sono chiamate chiavi di crittografia gestite dal cliente (CMEK).

Per alcuni pacchetti di controllo, Assured Workloads può implementare un progetto CMEK insieme al tuo progetto di risorse quando crei una cartella Assured Workloads.

Come alternativa a CMEK, Google-owned and Google-managed encryption keys, forniti per impostazione predefinita, sono conformi allo standard FIPS-140-2 e sono in grado di supportare la maggior parte dei pacchetti di controllo in Assured Workloads. I clienti possono eliminare il progetto CMEK e fare affidamento unicamente su Google-owned and Google-managed encryption keys. Tuttavia, ti consigliamo di decidere se utilizzare le chiavi CMEK prima di creare la cartella Carichi di lavoro garantiti, poiché l'eliminazione delle chiavi CMEK esistenti in uso può comportare l'impossibilità di accedere o recuperare i dati.

Chiavi di crittografia gestite dal cliente (CMEK)

Se hai bisogno di un maggiore controllo sulle chiavi utilizzate per criptare i dati inattivi all'interno di un Google Cloud progetto rispetto a quanto fornito dalla crittografia predefinita di Google Cloud, Google Cloud i servizi offrono la possibilità di proteggere i dati utilizzando chiavi di crittografia gestite dal cliente all'interno di Cloud KMS. Queste sono chiamate chiavi di crittografia gestite dal cliente (CMEK).

Per scoprire quali aspetti del ciclo di vita e della gestione delle chiavi sono supportati dalle CMEK, consulta la sezione Chiavi di crittografia gestite dal cliente (CMEK) nella documentazione di Cloud KMS. Per un tutorial che ti guida nella gestione delle chiavi e dei dati criptati utilizzando Cloud KMS, consulta la guida introduttiva o il codelab.

Passaggi successivi