Verschlüsselung inaktiver Daten

BigQuery verschlüsselt automatisch alle Daten, bevor sie auf ein Laufwerk geschrieben werden. Die Daten werden automatisch entschlüsselt, wenn sie von einem autorisierten Nutzer gelesen werden. Standardmäßig verwaltet Google die Schlüsselverschlüsselungsschlüssel, die zum Schutz Ihrer Daten verwendet werden. Sie können auch vom Kunden verwaltete Verschlüsselungsschlüssel verwenden und einzelne Werte in einer Tabelle verschlüsseln.

Standardverschlüsselung inaktiver Daten

Standardmäßig verwaltet Google für Sie die kryptografischen Schlüssel. Wir verwenden dabei dieselben gehärteten Schlüsselverwaltungssysteme wie für unsere eigenen verschlüsselten Daten. Diese Systeme umfassen strenge Schlüsselzugriffskontrollen und Auditing. Die Daten und Metadaten jedes BigQuery-Objekts werden nach dem Advanced Encryption Standard (AES) verschlüsselt.

Vom Kunden verwaltete Verschlüsselungsschlüssel

Wenn Sie die für Ihre inaktiven Daten verwendeten Schlüsselverschlüsselungsschlüssel selbst verwalten möchten, statt sie von Google verwalten zu lassen, verwenden Sie dafür den Cloud Key Management Service. Dieses Szenario wird als vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) bezeichnet. Weitere Informationen zu diesem Feature finden Sie unter Daten mit Cloud KMS-Schlüsseln schützen.

Einzelne Werte in einer Tabelle verschlüsseln

Wenn Sie einzelne Werte innerhalb einer BigQuery-Tabelle verschlüsseln möchten, verwenden Sie die AEAD-Verschlüsselungsfunktionen (Authenticated Encryption with Associated Data). Wenn Sie die Daten aller eigenen Kunden in einer einzigen allgemeinen Tabelle speichern möchten, können Sie mit den AEAD-Funktionen die Daten jedes einzelnen Kunden mit einem eigenen Schlüssel verschlüsseln. Die AEAD-Verschlüsselungsfunktionen basieren auf AES. Weitere Informationen finden Sie unter Konzepte der AEAD-Verschlüsselung in Standard-SQL.

Clientseitige Verschlüsselung

Die clientseitige Verschlüsselung erfolgt getrennt von der BigQuery-Verschlüsselung inaktiver Daten. Wenn Sie die clientseitige Verschlüsselung verwenden, sind Sie für die clientseitigen Schlüssel und kryptografischen Vorgänge selbst verantwortlich. Die Daten müssen von Ihnen verschlüsselt werden, bevor sie in BigQuery geschrieben werden. In diesem Fall werden Ihre Daten zweimal verschlüsselt, zuerst mit Ihren Schlüsseln und dann mit den Schlüsseln von Google. Entsprechend werden aus BigQuery gelesene Daten zweimal entschlüsselt, zuerst mit den Schlüsseln von Google und dann mit Ihren Schlüsseln.

Daten während der Übertragung

Zum Schutz Ihrer Daten bei der Übertragung über das Internet verwendet Google Cloud für Lese- und Schreibvorgänge das Protokoll "Transport Layer Security" (TLS). Weitere Informationen finden Sie unter Verschlüsselung bei der Übertragung zu Google Cloud.

In Google-Rechenzentren werden Ihre Daten verschlüsselt, wenn sie zwischen Rechnern übertragen werden.

Nächste Schritte

Weitere Informationen zur Verschlüsselung inaktiver Daten für BigQuery und andere Google Cloud-Produkte finden Sie unter Verschlüsselung inaktiver Daten in Google Cloud.