Encriptación en reposo

BigQuery encripta todos los datos de manera automática antes de que se es escriban en el disco. Los datos se desencriptan de manera automática cuando los lee un usuario autorizado. De forma predeterminada, Google administra las claves de encriptación de claves que se usan para proteger tus datos. También puedes usar claves de encriptación administradas por el cliente y encriptar valores individuales dentro de una tabla.

Encriptación predeterminada en reposo

De manera predeterminada, Google administra las claves criptográficas en tu nombre mediante los mismos sistemas de administración de claves endurecidos que usamos para nuestros propios datos encriptados. Dentro de estos sistemas se incluyen los estrictos controles de acceso a claves y auditorías. Los datos y metadatos de cada objeto de BigQuery se encriptan bajo el Estándar de encriptación avanzada (AES).

Claves de encriptación administradas por el cliente

Si deseas administrar las claves de encriptación de claves que se usan para tus datos en reposo, en lugar de que las administre Google, usa el Servicio de administración de claves. Esta situación se conoce como claves de encriptación administradas por el cliente (CMEK). Para obtener más información sobre esta función, consulta Protege datos con claves de Cloud KMS.

Encriptación de valores individuales de una tabla

Si quieren encriptar valores individuales dentro de una tabla de BigQuery, usa las funciones de encriptación de la encriptación autenticada con datos asociados (AEAD). Si deseas conservar los datos de todos tus clientes en una tabla común, usa las funciones de AEAD para encriptar los datos de cada cliente con una clave diferente. Las funciones de encriptación de AEAD se basan en AES. Para obtener más información, consulta Conceptos de encriptación AEAD en SQL estándar.

Encriptación del lado del cliente

La encriptación del lado del cliente es independiente de la encriptación en reposo de BigQuery. Si eliges usar la encriptación del lado del cliente, serás responsable de las claves del lado del cliente y las operaciones criptográficas. Deberás encriptar los datos antes de escribirlos en BigQuery. En este caso, tus datos se encriptan dos veces: primero con tus claves y, luego, con las claves de Google. Del mismo modo, los datos leídos de BigQuery se desencriptan dos veces: primero con las claves de Google y, luego, con tus claves.

Datos en tránsito

Para proteger tus datos a medida que viajan por Internet durante las operaciones de lectura y escritura, GCP usa la seguridad de la capa de transporte (HTTPS). Para obtener más información, consulta Encriptación en tránsito en Google Cloud.

Dentro de los centros de datos de Google, tus datos se encriptan cuando se transfieren entre máquinas.

Próximos pasos

Para obtener más información sobre el cifrado en reposo para BigQuery y otros productos de Google Cloud, consulta Cifrado en reposo en Google Cloud .

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Si necesitas ayuda, visita nuestra página de asistencia.