Verschlüsselung inaktiver Daten

In BigQuery werden inaktive Kundeninhalte standardmäßig verschlüsselt. Die Verschlüsselung wird von BigQuery durchgeführt. Zusätzliche Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option wird Google-Standardverschlüsselung genannt. Für die Google-Standardverschlüsselung werden dieselben gehärteten Schlüsselverwaltungssysteme verwendet, die wir auch für unsere eigenen verschlüsselten Daten verwenden. Diese Systeme umfassen strenge Schlüsselzugriffskontrollen und Auditing. Die Daten und Metadaten jedes BigQuery-Objekts werden nach dem Advanced Encryption Standard (AES) verschlüsselt.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie BigQuery verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung im Blick behalten, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen und zu verwalten, das die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten enthält, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre BigQuery-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu den Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Cloud KMS-Schlüssel.

CMEK mit Cloud KMS Autokey

Sie können CMEKs manuell erstellen, um Ihre BigQuery-Ressourcen zu schützen, oder dazu Cloud KMS Autokey verwenden. Mit Autokey werden Schlüsselbunde und Schlüssel bei der Ressourcenerstellung in BigQuery auf Anfrage generiert. Dienst-Agenten, die die Schlüssel für Verschlüsselungs- und Entschlüsselungsvorgänge verwenden, werden erstellt, falls sie noch nicht vorhanden sind. Sie erhalten dann die erforderlichen IAM-Rollen (Identity and Access Management). Weitere Informationen finden Sie unter Übersicht: Autokey.

Informationen zum Schutz Ihrer BigQuery-Ressourcen mit manuell erstellten CMEKs finden Sie unter Vom Kunden verwaltete Cloud KMS-Schlüssel.

Informationen zum Schutz Ihrer BigQuery-Ressourcen mit CMEKs, die mit Cloud KMS Autokey erstellt wurden, finden Sie unter Autokey mit BigQuery-Ressourcen verwenden.

Einzelne Werte in einer Tabelle verschlüsseln

Wenn Sie einzelne Werte innerhalb einer BigQuery-Tabelle verschlüsseln möchten, verwenden Sie die AEAD-Verschlüsselungsfunktionen (Authenticated Encryption with Associated Data). Wenn Sie die Daten aller eigenen Kunden in einer einzigen allgemeinen Tabelle speichern möchten, können Sie mit den AEAD-Funktionen die Daten jedes einzelnen Kunden mit einem eigenen Schlüssel verschlüsseln. Die AEAD-Verschlüsselungsfunktionen basieren auf AES. Weitere Informationen finden Sie unter Konzepte der AEAD-Verschlüsselung in Google SQL.

Clientseitige Verschlüsselung

Die clientseitige Verschlüsselung erfolgt getrennt von der BigQuery-Verschlüsselung inaktiver Daten. Wenn Sie die clientseitige Verschlüsselung verwenden, sind Sie für die clientseitigen Schlüssel und kryptografischen Vorgänge selbst verantwortlich. Die Daten müssen von Ihnen verschlüsselt werden, bevor sie in BigQuery geschrieben werden. In diesem Fall werden Ihre Daten zweimal verschlüsselt, zuerst mit Ihren Schlüsseln und dann mit den Schlüsseln von Google. Entsprechend werden aus BigQuery gelesene Daten zweimal entschlüsselt, zuerst mit den Schlüsseln von Google und dann mit Ihren Schlüsseln.

Daten während der Übertragung

Zum Schutz Ihrer Daten bei der Übertragung über das Internet verwendet Google Cloud für Lese- und Schreibvorgänge das Protokoll "Transport Layer Security" (TLS). Weitere Informationen finden Sie unter Verschlüsselung bei der Übertragung zu Google Cloud.

In Google-Rechenzentren werden Ihre Daten verschlüsselt, wenn sie zwischen Rechnern übertragen werden.

Nächste Schritte

Weitere Informationen zur Verschlüsselung inaktiver Daten für BigQuery und andere Google Cloud-Produkte finden Sie unter Verschlüsselung inaktiver Daten in Google Cloud.