Crittografia at-rest

BigQuery cripta automaticamente tutti i dati prima che vengano scritti sul disco. I dati vengono decriptati automaticamente quando vengono letti da un utente autorizzato. Per impostazione predefinita, Google gestisce le chiavi di crittografia della chiave utilizzate per proteggere i tuoi dati. Puoi anche utilizzare chiavi di crittografia gestite dal cliente e criptare i singoli valori all'interno di una tabella.

Crittografia at-rest predefinita

Per impostazione predefinita, Google gestisce le chiavi di crittografia per tuo conto utilizzando gli stessi sistemi di gestione delle chiavi protetti che utilizziamo per i nostri dati criptati. Questi sistemi, inclusi rigorosi controlli di accesso alle chiavi e audit, I dati e i metadati di ogni oggetto BigQuery sono criptati secondo l'algoritmo Advanced Encryption Standard (AES).

Chiavi di crittografia gestite dal cliente

Se vuoi gestire le chiavi di crittografia della chiave utilizzate per i dati inattivi, anziché lasciare che sia Google a gestire le chiavi, utilizza Cloud Key Management Service. Questo scenario è noto come chiavi di crittografia gestite dal cliente (CMEK). Per ulteriori informazioni su questa funzionalità, consulta Protezione dei dati con le chiavi Cloud KMS.

Crittografia di singoli valori in una tabella

Se vuoi criptare singoli valori all'interno di una tabella BigQuery, utilizza le funzioni di crittografia AEAD (Authenticated Encryption with Associated Data). Se vuoi conservare i dati di tutti i tuoi clienti in una tabella comune, utilizza le funzioni AEAD per criptare i dati di ogni cliente utilizzando una chiave diversa. Le funzioni di crittografia AEAD si basano sull'algoritmo AES. Per ulteriori informazioni, consulta la pagina relativa ai concetti di crittografia AEAD in GoogleSQL.

Crittografia lato client

La crittografia lato client è separata dalla crittografia at-rest di BigQuery. Se scegli di utilizzare la crittografia lato client, sei responsabile delle chiavi lato client e delle operazioni crittografiche. Prima di scriverli in BigQuery, cripteresti i dati. In questo caso, i dati vengono criptati due volte, prima con le chiavi e poi con le chiavi di Google. Allo stesso modo, i dati letti da BigQuery vengono decriptati due volte, prima con le chiavi di Google e poi con le chiavi.

Dati in transito

Per proteggere i dati durante il trasferimento su internet durante le operazioni di lettura e scrittura, Google Cloud utilizza TLS (Transport Layer Security). Per saperne di più, consulta Crittografia dei dati in transito in Google Cloud.

All'interno dei data center di Google, i tuoi dati sono criptati quando vengono trasferiti da una macchina all'altra.

Passaggi successivi

Per saperne di più sulla crittografia dei dati inattivi per BigQuery e altri prodotti Google Cloud, consulta Crittografia at-rest in Google Cloud.