Halaman ini membahas enkripsi sisi klien, yaitu enkripsi data apa pun yang Anda lakukan sebelum mengirim data ke Cloud Storage.
Saat melakukan enkripsi sisi klien, Anda harus membuat dan mengelola kunci enkripsi sendiri, serta menggunakan alat sendiri untuk mengenkripsi data sebelum mengirimkannya ke Cloud Storage. Data yang Anda enkripsi di sisi klien tiba di Cloud Storage dalam keadaan terenkripsi. Google Distributed Cloud (GDC) dengan air gap tidak mengetahui kunci yang Anda gunakan untuk mengenkripsi data.
Saat menerima data Anda, GDC akan mengenkripsi data tersebut untuk kedua kalinya. Enkripsi kedua ini adalah enkripsi sisi server, yang dikelola GDC. Saat Anda mengambil data Anda, GDC akan menghapus lapisan enkripsi sisi server. Anda harus mendekripsi lapisan sisi klien sendiri.
Menggunakan beberapa metode enkripsi
Bergantung pada persyaratan Anda, gunakan lebih dari satu metode enkripsi sekaligus. Contoh:
- Gunakan KMS untuk melindungi node appliance dan juga gunakan fitur keamanan drive untuk melakukan enkripsi ganda data di drive enkripsi mandiri di appliance yang sama.
- Gunakan KMS untuk mengamankan data di node appliance dan juga opsi untuk mengenkripsi semua objek saat di-ingest.
Jika hanya sebagian kecil objek Anda yang memerlukan enkripsi, pertimbangkan untuk mengontrol enkripsi di tingkat bucket atau objek individual. Mengaktifkan beberapa tingkat enkripsi akan menimbulkan biaya performa tambahan.
Enkripsi data GDC
GDC Storage mengenkripsi data Anda di sisi server, sebelum menulis data ke disk, tanpa biaya tambahan. Selain perilaku standar yang dikelola Google ini, ada cara tambahan untuk mengenkripsi data Anda saat menggunakan GDC Storage.
Opsi enkripsi yang tersedia untuk Anda adalah enkripsi sisi klien, yaitu enkripsi yang terjadi sebelum data masuk ke GDC Storage. Data tersebut tiba di GDC Storage dalam bentuk terenkripsi, dan mengalami enkripsi sisi server.