Encriptación en reposo

BigQuery encripta de forma automática todos los datos antes de que se escriban en el disco. Los datos se desencriptan de manera automática cuando los lee un usuario autorizado. De forma predeterminada, Google administra las claves de encriptación de claves que se usan para proteger tus datos. También puedes usar claves de encriptación administradas por el cliente y encriptar valores individuales dentro de una tabla.

Encriptación predeterminada en reposo

De manera predeterminada, Google administra las claves criptográficas en tu nombre mediante los mismos sistemas de administración de claves endurecidos que usamos para nuestros propios datos encriptados. Dentro de estos sistemas se incluyen los estrictos controles de acceso a claves y auditorías. Los datos y metadatos de cada objeto de BigQuery se encriptan bajo el Estándar de encriptación avanzada (AES).

Claves de encriptación administradas por el cliente

Si deseas administrar las claves de encriptación de claves usadas para tus datos en reposo, en lugar de que las administre Google, usa Cloud Key Management Service. Esta situación se conoce como claves de encriptación administradas por el cliente (CMEK). Para obtener más información sobre esta función, consulta Protege datos con claves de Cloud KMS.

Encriptación de valores individuales de una tabla

Si deseas encriptar valores individuales dentro de una tabla de BigQuery, usa las funciones de encriptación de la encriptación autenticada con datos asociados (AEAD). Si deseas conservar los datos de todos tus clientes en una tabla común, usa las funciones de AEAD para encriptar los datos de cada cliente con una clave diferente. Las funciones de encriptación de AEAD se basan en AES. Para obtener más información, consulta Conceptos de encriptación AEAD en GoogleSQL.

Encriptación del cliente

La encriptación del lado del cliente es independiente de la encriptación en reposo de BigQuery. Si eliges usar la encriptación del lado del cliente, serás responsable de las claves del lado del cliente y las operaciones criptográficas. Deberás encriptar los datos antes de escribirlos en BigQuery. En este caso, tus datos se encriptan dos veces: primero con tus claves y, luego, con las claves de Google. Del mismo modo, los datos leídos de BigQuery se desencriptan dos veces: primero con las claves de Google y, luego, con tus claves.

Datos en tránsito

Para proteger tus datos a medida que viajan por Internet durante las operaciones de lectura y escritura, Google Cloud usa la seguridad de la capa de transporte (TLS). Para obtener más información, consulta Encriptación en tránsito en Google Cloud.

Dentro de los centros de datos de Google, tus datos se encriptan cuando se transfieren entre máquinas.

Próximos pasos

Para obtener más información sobre el cifrado en reposo para BigQuery y otros productos de Google Cloud, consulta Cifrado en reposo en Google Cloud.