Questa pagina è stata tradotta dall'API Cloud Translation.

Crittografia dei dati inattivi

Per impostazione predefinita, BigQuery cripta i contenuti inattivi dei clienti. BigQuery gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google. La crittografia predefinita di Google utilizza gli stessi sistemi avanzati di gestione delle chiavi che utilizziamo per i nostri dati criptati. Questi sistemi includono controlli di accesso alle chiavi e audit rigorosi. I dati e i metadati di ogni oggetto BigQuery vengono criptati utilizzando Advanced Encryption Standard (AES).

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui BigQuery. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la posizione, la pianificazione della rotazione, l'utilizzo e le autorizzazioni di accesso e i limiti crittografici. L'utilizzo di Cloud KMS ti consente anche di monitorare l'utilizzo delle chiavi, visualizzare i log di controllo e controllare i cicli di vita delle chiavi. Anziché essere di proprietà di Google e gestite da Google, le chiavi di crittografia delle chiavi (KEK) simmetriche che proteggono i tuoi dati sono controllate e gestite da te in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse BigQuery è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi Cloud KMS gestite dal cliente.

CMEK con Autokey di Cloud KMS

Puoi creare le chiavi CMEK manualmente per proteggere le tue risorse BigQuery oppure utilizzare Autokey di Cloud KMS. Con Autokey, le chiavi e le chiavi automatizzate vengono generate on demand durante la creazione delle risorse in BigQuery. Gli agenti di servizio che utilizzano le chiavi per le operazioni di crittografia e decrittografia vengono creati se non esistono già e vengono concessi i ruoli IAM (Identity and Access Management) richiesti. Per ulteriori informazioni, consulta la panoramica di Autokey.

Per scoprire come utilizzare le CMEK create manualmente per proteggere le risorse BigQuery, consulta Chiavi Cloud KMS gestite dal cliente.

Per scoprire come utilizzare le chiavi CMEK create da Autokey di Cloud KMS per proteggere le risorse BigQuery, consulta Utilizzo di Autokey con le risorse BigQuery.

Crittografia dei singoli valori in una tabella

Se vuoi criptare i singoli valori all'interno di una tabella BigQuery, utilizza le funzioni di crittografia AEAD (Authenticated Encryption with Associated Data). Se vuoi conservare i dati di tutti i tuoi clienti in una tabella comune, utilizza le funzioni AEAD per criptare i dati di ogni cliente utilizzando una chiave diversa. Le funzioni di crittografia AEAD si basano su AES. Per ulteriori informazioni, consulta Concetti della crittografia AEAD in GoogleSQL.

Crittografia lato client

La crittografia lato client è separata dalla crittografia BigQuery a riposo. Se scegli di utilizzare la crittografia lato client, sei responsabile delle chiavi lato client e delle operazioni crittografiche. Cripta i dati prima di scriverli in BigQuery. In questo caso, i dati vengono criptati due volte, prima con le tue chiavi e poi con quelle di Google. Analogamente, i dati letti da BigQuery vengono decriptati due volte, prima con le chiavi di Google e poi con le tue chiavi.

Dati in transito

Per proteggere i tuoi dati durante il trasferimento su internet durante le operazioni di lettura e scrittura, Google Cloud utilizza Transport Layer Security (TLS). Per ulteriori informazioni, consulta Crittografia in transito in Google Cloud.

All'interno dei data center di Google, i tuoi dati vengono criptati quando vengono trasferiti tra le macchine.

Passaggi successivi

Per saperne di più sulla crittografia at-rest per BigQuery e altri prodotti Google Cloud , consulta Crittografia at-rest in Google Cloud.