クライアントサイド暗号化

このページでは、Cloud Storage にデータを送信する前に実行するデータの暗号化であるクライアントサイド暗号化について説明します。

クライアント側の暗号化を実行する場合、独自の暗号鍵を作成して管理し、Cloud Storage に送信する前に独自のツールを使用してデータを暗号化する必要があります。クライアントサイドで暗号化したデータは、暗号化された状態で Cloud Storage に到着します。Google Distributed Cloud(GDC)エアギャップは、データの暗号化に使用する鍵を認識しません。

GDC がデータを受け取ると、もう一度暗号化されます。この 2 番目の暗号化は、サーバー側の暗号化と呼ばれ、GDC が管理します。データを取得すると、GDC はサーバー側の暗号化レイヤを削除します。クライアント側のレイヤはユーザーが自分で復号する必要があります。

複数の暗号化方式を使用する

要件に応じて、複数の暗号化方式を同時に使用します。次に例を示します。

  • KMS を使用してアプライアンス ノードを保護し、ドライブ セキュリティ機能を使用して、同じアプライアンスの自己暗号化ドライブ上のデータを二重に暗号化します。
  • KMS を使用してアプライアンス ノードのデータを保護します。また、取り込み時にすべてのオブジェクトを暗号化するオプションもあります。

オブジェクトのほんの一部のみを暗号化する必要がある場合は、バケットまたは個々のオブジェクト レベルで暗号化を制御することを検討してください。複数のレベルの暗号化を有効にすると、パフォーマンス コストが追加で発生します。

GDC データ暗号化

GDC Storage は、データをディスクに書き込む前に、サーバー側でデータを暗号化します。追加料金はかかりません。この標準の Google が管理する動作の他に、GDC Storage の使用時にデータを暗号化することもできます。

利用可能な暗号化オプションの 1 つに、クライアントサイド暗号化があります。これは、データが GDC Storage に送信される前に実行される暗号化です。このようなデータは、暗号化された状態で GDC Storage に送信され、サーバー側でも暗号化が行われます。