저장 데이터 암호화

BigQuery는 디스크에 기록하기 전에 모든 데이터를 자동으로 암호화합니다. 데이터는 승인된 사용자가 데이터를 읽을 때 자동으로 복호화됩니다. 기본적으로 Google은 데이터 보호를 위해 사용되는 키 암호화 키를 관리합니다. 또한 고객 관리 암호화 키를 사용할 수도 있고, 테이블 내에서 개별 값을 암호화할 수 있습니다.

기본 저장 데이터 암호화

기본적으로 Google은 고유한 암호화된 데이터에 사용하는 것과 동일하게 강력한 키 관리 시스템을 사용하여 암호화 키를 관리합니다. 이러한 시스템에는 엄격한 키 액세스 제어 및 감사가 포함됩니다. 각 BigQuery 객체의 데이터 및 메타데이터는 고급 암호화 표준(AES)에 따라 암호화됩니다.

고객 관리 암호화 키

Google에서 키를 관리하게 두는 대신 저장 데이터에 사용되는 키 암호화 키를 직접 관리하려면 Cloud Key Management Service를 사용하여 키를 관리합니다. 이러한 시나리오를 고객 관리 암호화 키(CMEK)라고 부릅니다. 이 기능에 대한 자세한 내용은 Cloud KMS 키로 데이터 보호를 참조하세요.

테이블의 개별 값 암호화

BigQuery 테이블 내에서 개별 값을 암호화하려면 연관 데이터로 암호화 인증(AEAD)이라는 암호화 기능을 사용합니다. 모든 고유 고객의 데이터를 공통 테이블에 보관하려면 AEAD 함수를 사용해서 서로 다른 키를 사용하여 각 고객의 데이터를 암호화합니다. AEAD 암호화 함수는 AES를 기반으로 합니다. 자세한 내용은 표준 SQL의 AEAD 암호화 개념을 참조하세요.

클라이언트 측 암호화

클라이언트 측 암호화는 저장 데이터 BigQuery 암호화와 별개입니다. 클라이언트 측 암호화를 사용하도록 선택하면 클라이언트 측 키 및 암호화 작업을 사용자가 관리해야 합니다. 데이터를 BigQuery에 쓰기 전에 먼저 암호화해야 합니다. 이 경우 사용자 키와 Google 키를 사용하여 데이터가 두 번 암호화됩니다. 마찬가지로 BigQuery에서 읽혀지는 데이터도 Google 키와 사용자 키를 사용하여 두 번 복호화됩니다.

전송 중 데이터

읽기 및 쓰기 작업 도중 인터넷을 통해 전송되는 데이터를 보호하기 위해 Google Cloud는 전송 계층 보안(TLS)을 사용합니다. 자세한 내용은 Google Cloud의 전송 중인 데이터 암호화를 참조하세요.

Google 데이터 센터 내에서 데이터는 머신 간에 전송될 때 암호화됩니다.

다음 단계

BigQuery 및 기타 Google Cloud 제품의 저장 데이터 암호화에 대한 자세한 내용은 Google Cloud의 저장 데이터 암호화를 참조하세요.