Encriptación en reposo
BigQuery encripta de forma automática todos los datos antes de que se escriban en el disco. Los datos se desencriptan de manera automática cuando los lee un usuario autorizado. De forma predeterminada, Google posee y administra las claves de encriptación de claves que se usan para proteger tus datos. También puedes usar claves de encriptación administradas por el cliente y encriptar valores individuales dentro de una tabla.
Encriptación en reposo predeterminada
De manera predeterminada, Google posee y administra las claves criptográficas en tu nombre mediante los mismos sistemas de administración de claves endurecidos que usamos para nuestros propios datos encriptados. Dentro de estos sistemas se incluyen los estrictos controles de acceso a claves y auditorías. Los datos y metadatos de cada objeto de BigQuery se encriptan bajo el Estándar de encriptación avanzada (AES).
Claves de encriptación administradas por el cliente
Si deseas administrar las claves de encriptación de claves usadas para tus datos en reposo, en lugar de que Google las posea y administre, usa Cloud Key Management Service. Esta situación se conoce como claves de encriptación administradas por el cliente (CMEK). Para obtener más información sobre esta función, consulta Protege datos con claves de Cloud KMS.
Encriptación de valores individuales de una tabla
Si deseas encriptar valores individuales dentro de una tabla de BigQuery, usa las funciones de encriptación de la encriptación autenticada con datos asociados (AEAD). Si deseas conservar los datos de todos tus clientes en una tabla común, usa las funciones de AEAD para encriptar los datos de cada cliente con una clave diferente. Las funciones de encriptación de AEAD se basan en AES. Para obtener más información, consulta Conceptos de encriptación AEAD en GoogleSQL.
Encriptación del cliente
La encriptación del lado del cliente es independiente de la encriptación en reposo de BigQuery. Si eliges usar la encriptación del lado del cliente, serás responsable de las claves del lado del cliente y las operaciones criptográficas. Deberás encriptar los datos antes de escribirlos en BigQuery. En este caso, tus datos se encriptan dos veces: primero con tus claves y, luego, con las claves de Google. Del mismo modo, los datos leídos de BigQuery se desencriptan dos veces: primero con las claves de Google y, luego, con tus claves.
Datos en tránsito
Para proteger tus datos a medida que viajan por Internet durante las operaciones de lectura y escritura, Google Cloud usa la seguridad de la capa de transporte (TLS). Para obtener más información, consulta Encriptación en tránsito en Google Cloud.
Dentro de los centros de datos de Google, tus datos se encriptan cuando se transfieren entre máquinas.
Próximos pasos
Para obtener más información sobre el cifrado en reposo para BigQuery y otros productos de Google Cloud, consulta Cifrado en reposo en Google Cloud.