Esta página aborda a encriptação por parte do cliente, que é qualquer encriptação de dados que efetua antes de enviar os seus dados para o Cloud Storage.
Quando realiza a encriptação por parte do cliente, tem de criar e gerir as suas próprias chaves de encriptação e usar as suas próprias ferramentas para encriptar os dados antes de os enviar para o Cloud Storage. Os dados que encripta por parte do cliente chegam ao Cloud Storage num estado encriptado. O Google Distributed Cloud (GDC) air-gapped não tem conhecimento das chaves que usa para encriptar os dados.
Quando o GDC recebe os seus dados, encripta-os uma segunda vez. Esta segunda encriptação é a encriptação do lado do servidor, que é gerida pelo GDC. Quando recupera os seus dados, o GDC remove a camada de encriptação do lado do servidor. Tem de desencriptar a camada do lado do cliente.
Use vários métodos de encriptação
Consoante os seus requisitos, use mais do que um método de encriptação de cada vez. Por exemplo:
- Use um KMS para proteger os nós de dispositivos e também use uma funcionalidade de segurança da unidade para encriptar duplamente os dados nas unidades de autoencriptação nos mesmos dispositivos.
- Use um KMS para proteger os dados nos nós do dispositivo e também uma opção para encriptar todos os objetos quando são carregados.
Se apenas uma pequena parte dos seus objetos exigir encriptação, considere controlar a encriptação ao nível do contentor ou do objeto individual. A ativação de vários níveis de encriptação tem um custo de desempenho adicional.
Encriptação de dados do GDC
O armazenamento do GDC encripta os seus dados no lado do servidor, antes de escrever os dados no disco, sem custos adicionais. Além deste comportamento padrão gerido pela Google, existem formas adicionais de encriptar os seus dados quando usa o armazenamento do GDC.
Uma opção de encriptação disponível para si é a encriptação do lado do cliente, uma encriptação que ocorre antes de os dados serem enviados para o armazenamento do GDC. Esses dados chegam ao armazenamento do GDC encriptados e são encriptados do lado do servidor.