Firestore in modalità Datastore cripta automaticamente tutti i dati prima che siano scritti su disco. Non sono richieste configurazioni o configurazioni e non è necessario modificare il modo in cui accedi al servizio. I dati vengono decriptati automaticamente e in modo trasparente quando vengono letti da un utente autorizzato.
Gestione delle chiavi
Con la crittografia lato server, puoi consentire a Google di gestire le chiavi di crittografia per tuo conto o utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per gestire le chiavi autonomamente.
Per impostazione predefinita, Google gestisce le chiavi di crittografia per tuo conto utilizzando gli stessi sistemi di gestione delle chiavi protetti che utilizziamo per i nostri dati criptati, inclusi controlli e controlli rigorosi di accesso alle chiavi. I dati e i metadati di ogni oggetto in modalità Datastore sono criptati e ogni chiave di crittografia è a sua volta criptata con un set di chiavi master ruotate regolarmente.
Per informazioni sulla gestione autonoma delle chiavi, vedi CMEK per Datastore (anteprima).
Crittografia lato client
La crittografia lato server può essere utilizzata in combinazione con la crittografia lato client. Con la crittografia lato client, gestisci le tue chiavi di crittografia e cripta i dati prima di scriverli nel database. In questo caso, i tuoi dati vengono criptati due volte, una con le tue chiavi e un'altra con le chiavi lato server.
Per proteggere i tuoi dati mentre vengono trasferiti su internet durante le operazioni di lettura e scrittura, utilizziamo Transport Layer Security (TLS). Per ulteriori informazioni sulle versioni TLS supportate, consulta Crittografia dei dati in transito in Google Cloud.
Passaggi successivi
Per ulteriori informazioni sulla crittografia at-rest per Firestore in modalità Datastore e per altri prodotti Google Cloud, consulta Crittografia at-rest in Google Cloud.