Crittografia dei dati e chiavi di crittografia

Questa pagina fornisce informazioni sulla crittografia dei dati su Google Cloud e sulle chiavi di crittografia.

Crittografia dei dati in transito e a riposo

Google Cloud abilita la crittografia in transito per impostazione predefinita per criptare le richieste prima della trasmissione e per proteggere i dati non elaborati mediante il protocollo TLS (Transport Layer Security).

Una volta che i dati vengono trasferiti a Google Cloud per essere archiviati, Google Cloud applica la crittografia at-rest per impostazione predefinita. Per un maggiore controllo sulle modalità di crittografia dei dati inattivi, i clienti di Google Cloud possono utilizzare Cloud Key Management Service per generare, utilizzare, ruotare ed eliminare le chiavi di crittografia in base ai propri criteri. Queste chiavi sono chiamate chiavi di crittografia gestite dal cliente (CMEK).

Per determinati pacchetti di controllo, Assured Workloads può eseguire il deployment di un progetto CMEK insieme al progetto di risorse quando crei una cartella di Assured Workloads.

In alternativa a CMEK, le chiavi di crittografia gestite da Google, fornite per impostazione predefinita, sono conformi a FIPS-140-2 e sono in grado di supportare la maggior parte dei pacchetti di controllo in Assured Workloads. I clienti possono eliminare il progetto CMEK e usare le chiavi gestite da Google. Tuttavia, ti consigliamo di decidere se utilizzare le chiavi CMEK prima di creare la cartella Assured Workloads poiché l'eliminazione di una CMEK in uso esistente può impedire l'accesso o il recupero dei dati.

Chiavi di crittografia gestite dal cliente (CMEK)

Se hai bisogno di un maggiore controllo sulle chiavi utilizzate per criptare i dati at-rest in un progetto Google Cloud rispetto a quello fornito dalla crittografia predefinita di Google Cloud, i servizi Google Cloud offrono la possibilità di proteggere i dati utilizzando chiavi di crittografia gestite dal cliente all'interno di Cloud KMS. Queste chiavi di crittografia sono chiamate chiavi di crittografia gestite dal cliente (CMEK).

Per scoprire quali aspetti del ciclo di vita e della gestione delle chiavi fornite da CMEK, vedi Chiavi di crittografia gestite dal cliente (CMEK) nella documentazione di Cloud KMS. Per un tutorial che ti guida nella gestione di chiavi e dati criptati con Cloud KMS, consulta la quickstart o il codelab.

Passaggi successivi