Enkripsi dalam penyimpanan
Secara default, BigQuery mengenkripsi konten pelanggan dalam penyimpanan. BigQuery menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google. Enkripsi default Google menggunakan sistem pengelolaan kunci hasil hardening yang sama dengan yang kami gunakan untuk data terenkripsi kami sendiri. Sistem ini mencakup pengauditan dan kontrol akses kunci yang ketat. Setiap data dan metadata objek BigQuery dienkripsi menggunakan Advanced Encryption Standard (AES).
Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk BigQuery. Menggunakan kunci Cloud KMS memberi Anda kontrol atas tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batas kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.
Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource BigQuery akan mirip dengan menggunakan enkripsi default Google. Untuk informasi selengkapnya tentang opsi enkripsi Anda, lihat Kunci Cloud KMS yang dikelola pelanggan.
CMEK dengan Kunci Otomatis Cloud KMS
Anda dapat membuat CMEK secara manual untuk melindungi resource BigQuery atau menggunakan Cloud KMS Autokey. Dengan Autokey, key ring dan kunci dibuat sesuai permintaan sebagai bagian dari pembuatan resource di BigQuery. Agen layanan yang menggunakan kunci untuk operasi enkripsi dan dekripsi akan dibuat jika belum ada dan diberi peran Identity and Access Management (IAM) yang diperlukan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan kunci otomatis.
Untuk mempelajari cara menggunakan CMEK yang dibuat secara manual untuk melindungi resource BigQuery Anda, lihat Kunci Cloud KMS yang dikelola pelanggan.
Untuk mempelajari cara menggunakan CMEK yang dibuat oleh Cloud KMS Autokey untuk melindungi resource BigQuery Anda, lihat Menggunakan Autokey dengan resource BigQuery.
Enkripsi nilai individual dalam tabel
Jika Anda ingin mengenkripsi nilai individual dalam tabel BigQuery, gunakan fungsi enkripsi Authenticated Encryption with Associated Data (AEAD). Jika Anda ingin menyimpan data untuk semua pelanggan Anda sendiri dalam tabel umum, gunakan fungsi AEAD untuk mengenkripsi setiap data pelanggan menggunakan kunci yang berbeda. Fungsi enkripsi AEAD didasarkan pada AES. Untuk informasi selengkapnya, lihat Konsep Enkripsi AEAD di GoogleSQL.
Enkripsi sisi klien
Enkripsi sisi klien terpisah dari enkripsi BigQuery dalam penyimpanan. Jika memilih untuk menggunakan enkripsi sisi klien, Anda bertanggung jawab atas kunci sisi klien dan operasi kriptografi. Anda akan mengenkripsi data sebelum menulisnya ke BigQuery. Dalam hal ini, data Anda dienkripsi dua kali, pertama dengan kunci Anda, lalu dengan kunci Google. Demikian pula, data yang dibaca dari BigQuery didekripsi dua kali, pertama dengan kunci Google dan kemudian dengan kunci Anda.
Data dalam pengiriman
Untuk melindungi data Anda saat data berpindah melalui Internet selama operasi baca dan tulis, Google Cloud menggunakan Transport Layer Security (TLS). Untuk mengetahui informasi selengkapnya, lihat Enkripsi dalam pengiriman di Google Cloud.
Dalam pusat data Google, data Anda dienkripsi saat ditransfer antar-komputer.
Langkah berikutnya
Untuk informasi selengkapnya tentang enkripsi dalam penyimpanan untuk BigQuery dan produk Google Cloud lainnya, lihat Enkripsi dalam penyimpanan di Google Cloud.