Questa pagina descrive la crittografia lato client, ovvero qualsiasi crittografia dei dati che esegui prima di inviare i dati a Cloud Storage.
Quando esegui la crittografia lato client, devi creare e gestire le tue chiavi di crittografia e utilizzare i tuoi strumenti per criptare i dati prima di inviarli a Cloud Storage. I dati che cripti lato client arrivano in Cloud Storage in uno stato criptato. Google Distributed Cloud (GDC) air-gapped non conosce le chiavi che utilizzi per criptare i dati.
Quando GDC riceve i tuoi dati, li cripta una seconda volta. Questa seconda crittografia è la crittografia lato server, che viene gestita da GDC. Quando recuperi i dati, GDC rimuove il livello di crittografia lato server. Devi decriptare personalmente il livello lato client.
Utilizzare più metodi di crittografia
A seconda dei tuoi requisiti, utilizza più di un metodo di crittografia alla volta. Ad esempio:
- Utilizza un KMS per proteggere i nodi appliance e una funzionalità di sicurezza dell'unità per criptare due volte i dati sulle unità auto-criptanti nelle stesse appliance.
- Utilizza un KMS per proteggere i dati sui nodi appliance e anche un'opzione per criptare tutti gli oggetti durante l'importazione.
Se solo una piccola parte dei tuoi oggetti richiede la crittografia, valuta la possibilità di controllare la crittografia a livello di bucket o di singolo oggetto. L'attivazione di più livelli di crittografia comporta un costo aggiuntivo per le prestazioni.
Crittografia dei dati GDC
GDC Storage cripta i dati sul lato server prima che vengano scritti su disco, senza costi aggiuntivi. Oltre a questo comportamento standard gestito da Google, esistono altri modi per criptare i dati quando si utilizza GDC Storage.
Un'opzione di crittografia a tua disposizione è la crittografia lato client, una crittografia che avviene prima che i dati vengano inviati a GDC Storage. Questi dati arrivano a GDC Storage criptati e vengono sottoposti a crittografia lato server.