Chiffrement au repos

BigQuery chiffre automatiquement toutes les données avant qu'elles ne soient écrites sur le disque. Les données sont déchiffrées automatiquement lorsqu'elles sont lues par un utilisateur autorisé. Par défaut, Google gère les clés de chiffrement de clé utilisées pour protéger vos données. Vous pouvez également utiliser des clés de chiffrement gérées par le client et chiffrer des valeurs individuelles dans une table.

Chiffrement au repos par défaut

Par défaut, Google gère les clés de chiffrement en votre nom à l'aide des mêmes systèmes de gestion de clés renforcés que nous utilisons pour nos propres données chiffrées. Ces systèmes comprennent des contrôles d'accès stricts et l'audit des clés. Les données et métadonnées de chaque objet BigQuery sont chiffrées selon la norme AES (Advanced Encryption Standard). Chaque clé de chiffrement est elle-même chiffrée avec un ensemble de clés principales régulièrement alternées.

Clés de chiffrement gérées par le client

Si vous souhaitez gérer les clés de chiffrement de clé utilisées pour vos données au repos, au lieu d'utiliser Google, utilisez plutôt Cloud Key Management Service pour la gestion de vos clés. Ce scénario est appelé clés de chiffrement gérées par le client (CMEK, customer-managed encryption keys). Pour plus d'informations sur cette fonctionnalité, consultez la section Protéger des données avec des clés Cloud KMS.

Chiffrement de valeurs individuelles dans une table

Si vous souhaitez chiffrer des valeurs individuelles dans une table BigQuery, utilisez les fonctions de chiffrement AEAD (Authenticated Encryption with Associated Data). Si vous souhaitez conserver les données de tous vos clients dans une même table, utilisez les fonctions AEAD pour chiffrer les données de chaque client à l'aide d'une clé différente. Les fonctions de chiffrement AEAD sont basées sur AES. Pour plus d'informations, consultez la section Concepts relatifs au chiffrement AEAD en SQL standard.

Chiffrement côté client

Le chiffrement côté client est distinct du chiffrement BigQuery au repos. Si vous choisissez d'utiliser le chiffrement côté client, vous êtes responsable des clés et des opérations de chiffrement côté client. Vous devez chiffrer les données avant de les écrire dans BigQuery. Dans ce cas, vos données sont chiffrées deux fois, d'abord avec vos clés, puis avec les clés de Google. De même, les données lues dans BigQuery sont déchiffrées deux fois, d'abord avec les clés de Google, puis avec vos clés.

Données en transit

Pour protéger vos données lors des transferts via Internet au cours des opérations de lecture et d'écriture, GCP utilise le protocole HTTPS TLS (Transport Layer Security). Pour en savoir plus, consultez la section Chiffrement en transit dans GCP.

Dans les centres de données Google, vos données sont chiffrées lors de leur transfert entre ordinateurs.

Étape suivante

Pour plus d'informations sur le chiffrement au repos pour BigQuery et d'autres produits GCP, consultez la section Chiffrement au repos dans GCP.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Besoin d'aide ? Consultez notre page d'assistance.