Chiffrement au repos
BigQuery chiffre automatiquement toutes les données avant qu'elles ne soient écrites sur le disque. Les données sont déchiffrées automatiquement lorsqu'elles sont lues par un utilisateur autorisé. Par défaut, Google possède et gère les clés de chiffrement de clé utilisées pour protéger vos données. Vous pouvez également utiliser des clés de chiffrement gérées par le client et chiffrer des valeurs individuelles dans une table.
Chiffrement au repos par défaut
Par défaut, Google possède et gère les clés de chiffrement en votre nom à l'aide des mêmes systèmes de gestion de clés renforcés que nous utilisons pour nos propres données chiffrées. Ces systèmes comprennent des audits et des contrôles stricts d'accès aux clés. Les données et métadonnées de chaque objet BigQuery sont chiffrées selon la norme AES (Advanced Encryption Standard).
Clés de chiffrement gérées par le client
Si vous souhaitez gérer les clés de chiffrement de clé utilisées pour vos données au repos, au lieu que ce soit Google qui possède et gère les clés, utilisez plutôt Cloud Key Management Service pour la gestion de vos clés. Ce scénario est appelé clés de chiffrement gérées par le client (CMEK, customer-managed encryption keys). Pour plus d'informations sur cette fonctionnalité, consultez la page Protéger des données avec des clés Cloud KMS.
Chiffrement de valeurs individuelles dans une table
Si vous souhaitez chiffrer des valeurs individuelles dans une table BigQuery, utilisez les fonctions de chiffrement AEAD (Authenticated Encryption with Associated Data). Si vous souhaitez conserver les données de tous vos clients dans une même table, utilisez les fonctions AEAD pour chiffrer les données de chaque client à l'aide d'une clé différente. Les fonctions de chiffrement AEAD sont basées sur AES. Pour plus d'informations, consultez la page Concepts du chiffrement AEAD en GoogleSQL.
Chiffrement côté client
Le chiffrement côté client est distinct du chiffrement BigQuery au repos. Si vous optez pour le chiffrement côté client, vous êtes responsable des clés et des opérations de chiffrement côté client. Vous devez chiffrer les données avant de les écrire dans BigQuery. Dans ce cas, vos données sont chiffrées deux fois, d'abord avec vos clés, puis avec les clés de Google. De même, les données lues dans BigQuery sont déchiffrées deux fois, d'abord avec les clés de Google, puis avec vos clés.
Données en transit
Pour protéger vos données lors des transferts via Internet au cours des opérations de lecture et d'écriture, Google Cloud utilise le protocole TLS (Transport Layer Security). Pour en savoir plus, consultez la page Chiffrement en transit dans Google Cloud.
Dans les centres de données Google, vos données sont chiffrées lors de leur transfert entre ordinateurs.
Étape suivante
Pour en savoir plus sur le chiffrement au repos pour BigQuery et d'autres produits Google Cloud, consultez la page Chiffrement au repos dans Google Cloud.