Enkripsi dalam penyimpanan

BigQuery secara otomatis mengenkripsi semua data sebelum ditulis ke disk. Data didekripsi secara otomatis saat dibaca oleh pengguna yang diotorisasi. Secara default, Google mengelola kunci enkripsi kunci yang digunakan untuk melindungi data Anda. Anda juga dapat menggunakan kunci enkripsi yang dikelola pelanggan dan mengenkripsi nilai individual dalam tabel.

Enkripsi default dalam penyimpanan

Secara default, Google mengelola kunci kriptografis atas nama Anda menggunakan sistem pengelolaan kunci hasil hardening yang sama dengan yang kami gunakan untuk data terenkripsi kami sendiri. Sistem ini, termasuk pengauditan dan kontrol akses kunci yang ketat. Setiap data dan metadata objek BigQuery dienkripsi berdasarkan Advanced Encryption Standard (AES).

Kunci enkripsi yang dikelola pelanggan

Jika Anda ingin mengelola kunci enkripsi kunci yang digunakan untuk data dalam penyimpanan, daripada meminta Google mengelola kuncinya, gunakan Cloud Key Management Service untuk mengelola kunci Anda. Skenario ini dikenal sebagai kunci enkripsi yang dikelola pelanggan (CMEK). Untuk mengetahui informasi lebih lanjut tentang fitur ini, lihat Melindungi data dengan kunci Cloud KMS.

Enkripsi nilai individual dalam tabel

Jika Anda ingin mengenkripsi nilai individual dalam tabel BigQuery, gunakan fungsi enkripsi Authenticated Encryption with Associated Data (AEAD). Jika Anda ingin menyimpan data untuk semua pelanggan Anda sendiri dalam tabel umum, gunakan fungsi AEAD untuk mengenkripsi setiap data pelanggan menggunakan kunci yang berbeda. Fungsi enkripsi AEAD didasarkan pada AES. Untuk informasi selengkapnya, lihat Konsep Enkripsi AEAD di GoogleSQL.

Enkripsi sisi klien

Enkripsi sisi klien terpisah dari enkripsi BigQuery dalam penyimpanan. Jika memilih untuk menggunakan enkripsi sisi klien, Anda bertanggung jawab atas kunci sisi klien dan operasi kriptografi. Anda akan mengenkripsi data sebelum menulisnya ke BigQuery. Dalam hal ini, data Anda dienkripsi dua kali, pertama dengan kunci Anda, lalu dengan kunci Google. Demikian pula, data yang dibaca dari BigQuery didekripsi dua kali, pertama dengan kunci Google dan kemudian dengan kunci Anda.

Data dalam pengiriman

Untuk melindungi data Anda saat data berpindah melalui Internet selama operasi baca dan tulis, Google Cloud menggunakan Transport Layer Security (TLS). Untuk mengetahui informasi selengkapnya, lihat Enkripsi dalam pengiriman di Google Cloud.

Dalam pusat data Google, data Anda dienkripsi saat ditransfer antar-komputer.

Langkah selanjutnya

Untuk informasi selengkapnya tentang enkripsi dalam penyimpanan untuk BigQuery dan produk Google Cloud lainnya, lihat Enkripsi dalam penyimpanan di Google Cloud.