Criptografia em repouso

Por padrão, o BigQuery criptografa o conteúdo do cliente em repouso. O BigQuery processa a criptografia para você sem que você precise executar nenhuma outra ação. Essa opção é chamada de Criptografia padrão do Google. A criptografia padrão do Google usa os mesmos sistemas de gerenciamento de chaves com aumento da proteção que usamos para nossos dados criptografados. Esses sistemas incluem controles de acesso estritos de chaves e auditoria. Todos os dados e metadados de cada objeto do BigQuery são criptografados de acordo com o Padrão de criptografia avançada (AES, na sigla em inglês).

Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o BigQuery. O uso de chaves do Cloud KMS permite controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. O uso do Cloud KMS também permite a você monitorar o uso de chaves, visualizar registros de auditoria e controlar ciclos de vida importantes. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do BigQuery é semelhante à criptografia padrão do Google. Para mais informações sobre suas opções de criptografia, consulte Chaves do Cloud KMS gerenciadas pelo cliente.

CMEK com o Cloud KMS Autokey

É possível criar CMEKs manualmente para proteger seus recursos do BigQuery ou usar o Autokey do Cloud KMS. Com o Autokey, keyrings e chaves são gerados sob demanda como parte da criação de recursos no BigQuery. Os agentes de serviço que usam as chaves para operações de criptografia e descriptografia são criados se ainda não existirem e receberem os papéis necessários do Identity and Access Management (IAM). Para mais informações, consulte Visão geral das autokeys.

Para saber como usar CMEKs criadas manualmente para proteger seus recursos do BigQuery, consulte Chaves do Cloud KMS gerenciadas pelo cliente.

Para saber como usar as CMEKs criadas pelo Autokey do Cloud KMS para proteger seus recursos do BigQuery, consulte Usar o Autokey com recursos do BigQuery.

Criptografia de valores individuais em uma tabela

Se você quiser criptografar valores individuais em uma tabela do BigQuery, use as funções de Criptografia autenticada com dados associados (AEAD, na sigla em inglês). Se quiser manter os dados de todos os seus clientes em uma tabela comum, use as funções de AEAD para criptografar esses dados com uma chave diferente. As funções de AEAD são baseadas no AES. Para mais informações, consulte Conceitos de criptografia AEAD no GoogleSQL.

Criptografia do lado do cliente

A criptografia no lado do cliente é separada da criptografia do BigQuery em repouso. Se quiser usar a criptografia no lado do cliente, você será responsável pelas chaves correspondentes e pelas operações criptográficas. Os dados seriam criptografados antes de serem gravados no BigQuery. Nesse caso, seus dados são criptografados duas vezes: primeiro com suas chaves e depois com as chaves do Google. Da mesma forma, os dados lidos no BigQuery são descriptografados duas vezes: primeiro com as chaves do Google e depois com suas chaves.

Dados em trânsito

Para proteger seus dados no tráfego pela Internet durante as operações de leitura e gravação, o Google Cloud usa o Transport Layer Security (TLS). Para mais informações, consulte Criptografia em trânsito no Google Cloud.

Nos data centers do Google, seus dados são criptografados quando são transferidos entre as máquinas.

A seguir

Para mais informações sobre a criptografia em repouso do BigQuery e outros produtos do Google Cloud, consulte Criptografia em repouso no Google Cloud.