Datastore 모드의 Firestore는 데이터를 디스크에 기록하기 전에 모두 자동으로 암호화합니다. 필요한 설정이나 구성이 없으며 서비스에 액세스하는 방식을 수정할 필요도 없습니다. 승인된 사용자가 읽으면 데이터가 자동으로 투명하게 복호화됩니다.
키 관리
서버 측 암호화를 사용하면 Google이 사용자를 대신하여 암호화 키를 관리하도록 하거나 고객 관리 암호화 키(CMEK)를 사용하여 키를 직접 관리할 수 있습니다.
기본적으로 Google은 엄격한 키 액세스 제어 및 감사를 비롯하여 Google의 암호화된 데이터에 사용하는 것과 동일한 신뢰성이 있는 키 관리 시스템을 통해 사용자를 대신해 암호화 키를 관리합니다. 각 Datastore 모드 객체의 데이터와 메타데이터는 암호화되며, 각 암호화 키는 정기적으로 순환되는 마스터 키 모음으로 암호화됩니다.
키를 직접 관리하는 방법은 Datastore용 CMEK(미리보기)를 참조하세요.
클라이언트 측 암호화
서버 측 암호화 기능을 클라이언트 측 암호화 기능과 결합하여 사용할 수 있습니다. 클라이언트 측 암호화에서는 개발자가 자체 암호화 키를 관리하고 데이터를 데이터베이스에 기록하기 전에 암호화합니다. 이 경우 데이터는 한 번은 자체 키로, 또 한 번은 서버 측 키로 두 번 암호화됩니다.
읽기 및 쓰기 작업 도중 인터넷을 통해 전송되는 데이터를 보호하기 위해 Google은 전송 계층 보안(TLS)을 사용합니다. 지원되는 TLS 버전에 대한 자세한 내용은 Google Cloud에서 전송 중인 데이터 암호화를 참조하세요.
다음 단계
Datastore 모드의 Firestore 및 기타 Google Cloud 제품의 저장 데이터 암호화에 대한 자세한 내용은 Google Cloud에서 저장 데이터 암호화를 참조하세요.