Firestore en mode Datastore chiffre automatiquement toutes les données avant qu'elles ne soient écrites sur le disque. Aucune installation ni configuration n'est requise et il n'est pas nécessaire de modifier le mode d'accès au service. Les données sont déchiffrées automatiquement et de manière transparente lorsqu'elles sont lues par un utilisateur autorisé.
Gestion des clés
Avec le chiffrement côté serveur, vous pouvez soit laisser Google gérer les clés cryptographiques en votre nom, soit utiliser des clés de chiffrement gérées par le client (CMEK) pour les gérer vous-même.
Par défaut, Google gère les clés cryptographiques en votre nom à l'aide des mêmes systèmes de gestion de clés renforcés que nous utilisons pour nos propres données chiffrées, y compris les audits et les contrôles d'accès stricts aux clés. Les données et les métadonnées de chaque objet en mode Datastore sont chiffrées, et chaque clé de chiffrement est elle-même chiffrée avec un ensemble de clés principales régulièrement alternées.
Pour en savoir plus sur la gestion des clés vous-même, consultez la page CMEK pour Datastore (preview).
Chiffrement côté client
Le chiffrement côté serveur peut être utilisé en association avec le chiffrement côté client. Le chiffrement côté client vous permet de gérer vos propres clés de chiffrement et de chiffrer les données avant de les écrire dans votre base de données. Dans ce cas, vos données sont chiffrées deux fois : une fois avec vos clés et une autre fois avec les clés côté serveur.
Pour protéger vos données lors des transferts via Internet au cours des opérations de lecture et d'écriture, nous utilisons le protocole TLS (Transport Layer Security). Pour en savoir plus sur les versions TLS compatibles, consultez la page Chiffrement en transit dans Google Cloud.
Étapes suivantes
Pour en savoir plus sur le chiffrement au repos pour Firestore en mode Datastore et d'autres produits Google Cloud, consultez la page Chiffrement au repos dans Google Cloud.