En esta página, se analiza la encriptación del cliente, que es cualquier encriptación de datos que realices antes de enviar tus datos a Cloud Storage.
Cuando realizas la encriptación del cliente, debes crear y administrar tus propias claves de encriptación, y usar tus propias herramientas para encriptar los datos antes de enviarlos a Cloud Storage. Los datos que encriptas del lado del cliente llegan a Cloud Storage en un estado encriptado. Google Distributed Cloud (GDC) aislado no conoce las claves que usas para encriptar los datos.
Cuando GDC recibe tus datos, los encripta por segunda vez. Esta segunda encriptación es la encriptación del servidor, que administra GDC. Cuando recuperas tus datos, GDC quita la capa de encriptación del servidor. Tú debes desencriptar la capa del cliente.
Usar varios métodos de encriptación
Según tus requisitos, usa más de un método de encriptación a la vez. Por ejemplo:
- Usa un KMS para proteger los nodos del dispositivo y también una función de seguridad de la unidad para encriptar dos veces los datos en las unidades de autoencriptación de los mismos dispositivos.
- Usa un KMS para proteger los datos en los nodos del dispositivo y también una opción para encriptar todos los objetos cuando se transfieren.
Si solo una pequeña parte de tus objetos requiere encriptación, considera controlar la encriptación a nivel del bucket o del objeto individual. Habilitar varios niveles de encriptación tiene un costo de rendimiento adicional.
Encriptación de datos de GDC
GDC Storage encripta tus datos en el servidor antes de escribirlos en el disco, sin cargos adicionales. Además de este comportamiento estándar administrado por Google, hay formas adicionales de encriptar tus datos cuando usas GDC Storage.
Una opción de encriptación disponible para ti es la encriptación del cliente, que se produce antes de que los datos se envíen a GDC Storage. Estos datos llegan a GDC Storage encriptados y se someten a encriptación del lado del servidor.