Encriptación en reposo

BigQuery encripta de forma automática todos los datos antes de que se escriban en el disco. Los datos se desencriptan de forma automática cuando los lee un usuario autorizado. De forma predeterminada, Google administra las claves de encriptación de claves que se usan para proteger tus datos. También puedes usar claves de encriptación administradas por el cliente y encriptar valores individuales dentro de una tabla.

Encriptación predeterminada en reposo

De manera predeterminada, Google administra las claves criptográficas en tu nombre mediante los mismos sistemas de administración de claves endurecidos que usamos para nuestros propios datos encriptados. Estos sistemas incluyen estrictos controles de acceso a las claves y auditorías. Los datos y metadatos de cada objeto de BigQuery se encriptan bajo el Estándar de encriptación avanzada (AES). Cada clave de encriptación de claves se encripta con un conjunto de claves maestras que se rota con regularidad.

Claves de encriptación administradas por el cliente

Si deseas administrar las claves de encriptación de claves usadas para tus datos en reposo, en lugar de que las administre Google, usa Cloud Key Management Service. Esta situación se conoce como claves de encriptación administradas por el cliente (CMEK). Para obtener más información sobre esta función, consulta Protege datos con claves de Cloud KMS.

Encriptación de valores individuales de una tabla

Si deseas encriptar valores individuales dentro de una tabla de BigQuery, usa las funciones de encriptación de la encriptación autenticada con datos asociados (AEAD). Si deseas conservar los datos de todos tus clientes en una tabla común, usa las funciones de AEAD para encriptar los datos de cada cliente con una clave diferente. Las funciones de encriptación de AEAD se basan en AES. Para obtener más información, consulta Conceptos de encriptación AEAD en SQL estándar.

Encriptación del lado del cliente

La encriptación del lado del cliente es independiente de la encriptación en reposo de BigQuery. Si eliges usar la encriptación del lado del cliente, serás responsable de las claves del lado del cliente y las operaciones criptográficas. Deberás encriptar los datos antes de escribirlos en BigQuery. En este caso, tus datos se encriptan dos veces: primero con tus claves y, luego, con las claves de Google. Del mismo modo, los datos leídos de BigQuery se desencriptan dos veces: primero con las claves de Google y, luego, con tus claves.

Datos en tránsito

Para proteger tus datos a medida que viajan por Internet durante las operaciones de lectura y escritura, GCP usa la seguridad de la capa de transporte (HTTPS). Para obtener más información, consulta Encriptación en tránsito en GCP.

Dentro de los centros de datos de Google, tus datos de encriptan cuando se transfieren entre máquinas.

Pasos siguientes

Si deseas obtener más información sobre la encriptación en reposo para BigQuery y otros productos de GCP, consulta Encriptación en reposo en GCP.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Si necesitas ayuda, visita nuestra página de asistencia.