Criptografia no servidor

O Firestore no modo Datastore criptografa automaticamente todos os dados antes que eles sejam gravados no disco. Não é necessário instalação ou configuração. Também não é necessário acessar o serviço de outra maneira. Os dados são descriptografados de maneira automática e transparente quando um usuário autorizado os lê.

Gerenciamento de chaves

Com a criptografia do lado do servidor, você pode permitir que o Google gerencie as chaves criptográficas em seu nome ou usar chaves de criptografia gerenciadas pelo cliente (CMEK) para gerenciar as chaves por conta própria.

Por padrão, o Google gerencia as chaves criptográficas por você usando os mesmos sistemas de gerenciamento de chaves com aumento da proteção que usamos para nossos próprios dados criptografados. Isso inclui auditoria e controles rígidos de acesso por chave. Todos os dados e metadados dos objetos do modo Datastore são criptografados, e cada chave de criptografia é criptografada com um conjunto de chaves mestras do keystore alternadas regularmente.

Para informações sobre como gerenciar as chaves, consulte CMEK para Datastore.

Criptografia do lado do cliente

É possível combinar a criptografia no servidor com a criptografia no cliente. Na criptografia no cliente, você é o responsável por gerenciar suas chaves de criptografia e dados criptografados antes de gravá-los no banco de dados. Nesse caso, os dados são criptografados duas vezes: a primeira com suas chaves e a segunda com as chaves do servidor.

Para proteger seus dados no tráfego pela Internet durante as operações de leitura e gravação, usamos o protocolo Transport Layer Security (TLS). Para mais informações sobre as versões TLS com suporte, consulte Criptografia em trânsito no Google Cloud.

A seguir

Para mais informações sobre criptografia em repouso para o Firestore no modo Datastore e outros produtos do Google Cloud, consulte Criptografia em repouso no Google Cloud.