Criptografia em repouso

Todos os dados do BigQuery são criptografados automaticamente antes de serem gravados no disco. Os dados são descriptografados automaticamente quando um usuário autorizado os lê. Por padrão, o Google gerencia as chaves de criptografia usadas para proteger seus dados. Também é possível usar chaves de criptografia gerenciadas pelo cliente e criptografar valores individuais em uma tabela.

Criptografia padrão em repouso

Por padrão, o Google gerencia as chaves criptográficas por você usando os mesmos sistemas de gerenciamento de chaves que usamos para nossos próprios dados criptografados. Esses sistemas incluem controles de acesso estritos com chaves e auditoria. Todos dados e metadados de cada objeto do BigQuery são criptografados de acordo com o Padrão de criptografia avançada (AES, na sigla em inglês) [em inglês].

Chaves de criptografia gerenciadas pelo cliente

Se você quiser gerenciar as chaves de criptografia de chaves usadas para seus dados em repouso, em vez de deixar o gerenciamento para o Google, use o Cloud Key Management Service para gerenciar suas chaves. Esse cenário é conhecido como chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). Para mais informações sobre esse recurso, consulte Como proteger dados com as chaves do Cloud KMS.

Criptografia de valores individuais em uma tabela

Se você quiser criptografar valores individuais em uma tabela do BigQuery, use as funções de Criptografia autenticada com dados associados (AEAD, na sigla em inglês). Se quiser manter os dados de todos os seus clientes em uma tabela comum, use as funções de AEAD para criptografar esses dados com uma chave diferente. As funções de AEAD são baseadas no AES. Para mais informações, consulte Conceitos de criptografia AEAD no GoogleSQL.

Criptografia do lado do cliente

A criptografia no lado do cliente é separada da criptografia do BigQuery em repouso. Se quiser usar a criptografia no lado do cliente, você será responsável pelas chaves correspondentes e pelas operações criptográficas. Os dados seriam criptografados antes de serem gravados no BigQuery. Nesse caso, seus dados são criptografados duas vezes: primeiro com suas chaves e depois com as chaves do Google. Da mesma forma, os dados lidos no BigQuery são descriptografados duas vezes: primeiro com as chaves do Google e depois com suas chaves.

Dados em trânsito

Para proteger seus dados no tráfego pela Internet durante as operações de leitura e gravação, o Google Cloud usa o Transport Layer Security (TLS). Para mais informações, consulte Criptografia em trânsito no Google Cloud.

Nos data centers do Google, seus dados são criptografados quando são transferidos entre as máquinas.

A seguir

Para mais informações sobre a criptografia em repouso do BigQuery e outros produtos do Google Cloud, consulte Criptografia em repouso no Google Cloud.