Firestore en modo Datastore encripta de forma automática todos los datos antes de que se escriban en el disco. No se requiere configuración y tampoco es necesario modificar la forma en que accedes al servicio. Los datos se desencriptan de forma automática y con transparencia cuando los lee un usuario autorizado.
Administración de claves
Con la encriptación del servidor, puedes dejar que Google administre claves criptográficas en tu o usar claves de encriptación administradas por el cliente (CMEK) tú mismo.
De forma predeterminada, Google administra claves criptográficas en tus con los mismos sistemas de administración de claves endurecidos datos encriptados, incluidos los controles estrictos de acceso a claves y auditorías. Cada Los datos y metadatos del objeto de modo Datastore están encriptados, y cada uno está encriptada con un conjunto de claves maestras que se rotan con regularidad.
Para obtener información sobre cómo administrar las claves por tu cuenta, consulta CMEK para Datastore (vista previa).
Encriptación del cliente
La encriptación en el lado del servidor puede utilizarse en combinación con la encriptación en el lado del cliente. La encriptación en el lado del cliente te permite administrar tus propias claves de encriptación y encriptar los datos antes de escribirlos en tu base de datos. En este caso, tus datos son encriptado dos veces: una con tus claves y otra con las claves del servidor.
Para proteger tus datos a medida que viajan por Internet durante las operaciones de lectura y escritura, utilizamos la seguridad de la capa de transporte (TLS). Para obtener más información para conocer las versiones de TLS compatibles, consulta Encriptación en tránsito en Google Cloud.
¿Qué sigue?
Obtén más información sobre la encriptación en reposo para Firestore en modo Datastore y otros productos de Google Cloud, consulta Encriptación en reposo en Google Cloud.