Crittografia dei dati inattivi
Per impostazione predefinita, BigQuery cripta i contenuti dei clienti riposo. BigQuery gestisce la crittografia per te senza alcuna azione aggiuntiva sul tuo parte. Questa opzione è denominata crittografia predefinita di Google. La crittografia predefinita di Google utilizza gli stessi sistemi di gestione delle chiavi avanzati che utilizziamo per i nostri dati criptati. Questi sistemi includono controlli e controlli rigorosi per l'accesso alle chiavi. I dati e i metadati di ogni oggetto BigQuery vengono criptati utilizzando Livello avanzato Crittografia standard (AES).
Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, tra cui BigQuery. L'utilizzo delle chiavi Cloud KMS consente di controllare la protezione livello, posizione, pianificazione della rotazione, autorizzazioni di utilizzo e accesso e confini crittografici. L'utilizzo di Cloud KMS ti consente inoltre di monitorare l'utilizzo delle chiavi, visualizzare i log di controllo e controllare i cicli di vita delle chiavi. Invece di lasciare che sia Google a controllare e gestire la simmetria chiavi di crittografia delle chiavi (KEK) che proteggono i dati, sei tu a controllare e gestire queste chiavi in Cloud KMS.
Dopo aver configurato le risorse con le CMEK, l'esperienza di accesso Le risorse BigQuery sono simili all'utilizzo della crittografia predefinita di Google. Per ulteriori informazioni sulle opzioni di crittografia, vedi Chiavi Cloud KMS gestite dal cliente.
CMEK con Cloud KMS Autokey
Puoi creare CMEK manualmente per proteggere le risorse BigQuery o utilizzare Autokey di Cloud KMS. Con Autokey, i keyring e le chiavi vengono generati on demand come della creazione di risorse in BigQuery. Gli agenti di servizio che utilizzano le chiavi per le operazioni di crittografia e decriptazione vengono creati se non utilizzano queste chiavi esistono già e dispongono dei ruoli Identity and Access Management (IAM) richiesti. Per maggiori informazioni informazioni, consulta la Panoramica di Autokey.
Per scoprire come utilizzare CMEK create manualmente per proteggere le tue risorse BigQuery, consulta Chiavi Cloud KMS gestite dal cliente.
Per scoprire come usare le CMEK create Cloud KMS Autokey per proteggere le tue risorse BigQuery, consulta Utilizzo di Autokey con BigQuery Google Cloud.
Crittografia dei singoli valori in una tabella
Se vuoi criptare singoli valori di una tabella BigQuery, Utilizzare la crittografia Autenticazione autenticata con dati associati (AEAD) . Se vuoi conservare i dati di tutti i tuoi clienti in un tabella comune, utilizza le funzioni AEAD per criptare la crittografia di ciascun cliente utilizzando un chiave diversa. Le funzioni di crittografia AEAD si basano su AES. Per ulteriori informazioni, consulta Concetti della crittografia AEAD in GoogleSQL.
Crittografia lato client
La crittografia lato client è separata dalla crittografia di BigQuery at rest. Se scegli di utilizzare la crittografia lato client, sei responsabile le chiavi lato client e le operazioni crittografiche. Cripteresti i dati prima del giorno scrivendolo in BigQuery. In questo caso, i dati vengono criptati due volte, prima con le tue chiavi e poi con quelle di Google. Analogamente, i dati letti da BigQuery vengono decriptati due volte, prima con le chiavi di Google e poi con le tue chiavi.
Dati in transito
Proteggere i dati mentre vengono trasferiti su internet durante la lettura e la scrittura operazioni, Google Cloud utilizza TLS (Transport Layer Security). Per maggiori informazioni per informazioni, consulta Crittografia dei dati in transito in Google Cloud.
All'interno dei data center di Google, i tuoi dati vengono criptati al momento del trasferimento tra le macchine.
Passaggi successivi
Per ulteriori informazioni sulla crittografia at-rest per BigQuery e altri prodotti Google Cloud, consulta Crittografia at-rest in Google Cloud.