O Firestore no modo Datastore criptografa automaticamente todos os dados antes que eles sejam gravados no disco. Não é necessário instalação ou configuração. Também não é necessário acessar o serviço de outra maneira. Os dados são descriptografados de maneira automática e transparente quando um usuário autorizado os lê.
Gerenciamento de chaves
Com a criptografia do lado do servidor, você pode deixar o Google gerenciar as chaves criptográficas na sua ou usar chaves de criptografia gerenciadas pelo cliente (CMEK) para gerenciá-las você mesmo.
Por padrão, o Google gerencia chaves criptográficas na sua com os mesmos sistemas de gerenciamento de chaves com aumento da proteção que usamos nos nossos dados criptografados, incluindo auditoria e controles estritos de acesso por chave. Cada Os dados e metadados do objeto do modo Datastore são criptografados, e cada chave de criptografia é criptografada por conta própria com um conjunto de chaves mestras rotacionadas regularmente.
Para informações sobre como gerenciar as chaves por conta própria, consulte CMEK para Datastore (pré-lançamento).
Criptografia do lado do cliente
É possível combinar a criptografia no servidor com a criptografia no cliente. Na criptografia no cliente, você é o responsável por gerenciar suas chaves de criptografia e dados criptografados antes de gravá-los no banco de dados. Nesse caso, seus dados são criptografados duas vezes, uma com suas chaves e outra com as chaves do lado do servidor.
Para proteger seus dados no tráfego pela Internet durante as operações de leitura e gravação, usamos o protocolo Transport Layer Security (TLS). Para mais informações sobre quais versões do TLS são compatíveis, consulte Criptografia em trânsito no Google Cloud.
A seguir
Para mais informações sobre criptografia em repouso para o Firestore no modo Datastore e outros produtos do Google Cloud, consulte Criptografia em repouso no Google Cloud.