Firestore in modalità Datastore cripta automaticamente tutti i dati prima che vengano scritti su disco. Non è richiesta alcuna impostazione o configurazione e non è necessario modificare il modo in cui accedi al servizio. I dati vengono decriptati automaticamente e in modo trasparente quando vengono letti da un utente autorizzato.
Gestione delle chiavi
Con la crittografia lato server, puoi consentire a Google di gestire le chiavi di crittografia per tuo conto o utilizzare chiavi di crittografia gestite dal cliente (CMEK) per gestirle autonomamente.
Per impostazione predefinita, Google gestisce le chiavi di crittografia per tuo conto utilizzando gli stessi sistemi di gestione delle chiavi rafforzati che utilizziamo per i nostri dati criptati, inclusi controlli e controlli dell'accesso alle chiavi rigorosi. I dati e i metadati di ogni oggetto in modalità Datastore sono criptati e ogni chiave di crittografia è a sua volta criptata con un set di chiavi master che vengono ruotate regolarmente.
Per informazioni sulla gestione autonoma delle chiavi, consulta CMEK per Datastore (anteprima).
Crittografia lato client
La crittografia lato server può essere utilizzata in combinazione con la crittografia lato client. Nella crittografia lato client, gestisci le tue chiavi di crittografia e cripti i dati prima di scriverli nel database. In questo caso, i dati vengono criptati due volte, una con le chiavi e l'altra con le chiavi lato server.
Per proteggere i tuoi dati durante il trasferimento su internet durante le operazioni di lettura e scrittura, utilizziamo Transport Layer Security (TLS). Per ulteriori informazioni sulle versioni TLS supportate, consulta Crittografia dei dati in transito in Google Cloud.
Passaggi successivi
Per ulteriori informazioni sulla crittografia dei dati inattivi per Firestore in modalità Datastore e per altri prodotti Google Cloud, consulta Crittografia at-rest in Google Cloud.