Encriptación en reposo
De manera predeterminada, BigQuery encripta contenido del cliente en reposo. BigQuery controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina Encriptación predeterminada de Google. La encriptación predeterminada de Google usa los mismos sistemas de administración de claves endurecidos que usamos para nuestros propios datos encriptados. Dentro de estos sistemas se incluyen los estrictos controles de acceso a claves y auditorías. Los datos y metadatos de cada objeto de BigQuery se encriptan bajo el Estándar de encriptación avanzada (AES).
Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido BigQuery. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite hacer un seguimiento del uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.
Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de BigQuery es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de Cloud KMS administradas por el cliente.
CMEK con Autokey de Cloud KMS
Puedes crear CMEK de forma manual para proteger tus recursos de BigQuery o usar la clave automática de Cloud KMS. Con Autokey, los llaveros de claves y las claves se generan a pedido como parte de la creación de recursos en BigQuery. Los agentes de servicio que usan las claves para las operaciones de encriptación y desencriptación se crean si aún no existen y se les otorgan los roles de Identity and Access Management (IAM) necesarios. Para obtener más información, consulta Descripción general de las claves automáticas.
Para aprender a usar CMEK creadas de forma manual para proteger tus recursos de BigQuery, consulta Claves de Cloud KMS administradas por el cliente.
Para obtener información sobre cómo usar las CMEK que crea Autokey de Cloud KMS para proteger tus recursos de BigQuery, consulta Cómo usar Autokey con recursos de BigQuery.
Encriptación de valores individuales de una tabla
Si deseas encriptar valores individuales dentro de una tabla de BigQuery, usa las funciones de encriptación de la encriptación autenticada con datos asociados (AEAD). Si deseas conservar los datos de todos tus clientes en una tabla común, usa las funciones de AEAD para encriptar los datos de cada cliente con una clave diferente. Las funciones de encriptación de AEAD se basan en AES. Para obtener más información, consulta Conceptos de encriptación AEAD en GoogleSQL.
Encriptación del cliente
La encriptación del lado del cliente es independiente de la encriptación en reposo de BigQuery. Si eliges usar la encriptación del lado del cliente, serás responsable de las claves del lado del cliente y las operaciones criptográficas. Deberás encriptar los datos antes de escribirlos en BigQuery. En este caso, tus datos se encriptan dos veces: primero con tus claves y, luego, con las claves de Google. Del mismo modo, los datos leídos de BigQuery se desencriptan dos veces: primero con las claves de Google y, luego, con tus claves.
Datos en tránsito
Para proteger tus datos a medida que viajan por Internet durante las operaciones de lectura y escritura, Google Cloud usa la seguridad de la capa de transporte (TLS). Para obtener más información, consulta Encriptación en tránsito en Google Cloud.
Dentro de los centros de datos de Google, tus datos se encriptan cuando se transfieren entre máquinas.
Próximos pasos
Para obtener más información sobre el cifrado en reposo para BigQuery y otros productos de Google Cloud, consulta Cifrado en reposo en Google Cloud.