Nesta página, você vai conhecer a criptografia do cliente, que é qualquer criptografia de dados executada antes do envio para o Cloud Storage.
Ao executar a criptografia do cliente, você precisa criar e gerenciar suas próprias chaves de criptografia, além de usar suas próprias ferramentas para criptografar os dados antes de enviá-los ao Cloud Storage. Os dados que você criptografa no cliente chegam ao Cloud Storage em um estado criptografado. O Google Distributed Cloud (GDC) isolado por air-gap não tem conhecimento das chaves usadas para criptografar os dados.
Quando o GDC recebe seus dados, eles são criptografados pela segunda vez. Essa segunda criptografia é chamada de criptografia do lado do servidor, gerenciada pelo GDC. Quando você recupera seus dados, o GDC remove a camada de criptografia do servidor. Você precisa descriptografar a camada do lado do cliente.
Usar vários métodos de criptografia
Dependendo dos seus requisitos, use mais de um método de criptografia por vez. Exemplo:
- Use um KMS para proteger os nós do dispositivo e um recurso de segurança da unidade para criptografar duas vezes os dados nas unidades de criptografia própria dos mesmos dispositivos.
- Use um KMS para proteger os dados nos nós do appliance e também uma opção para criptografar todos os objetos quando eles forem ingeridos.
Se apenas uma pequena parte dos seus objetos precisar de criptografia, considere controlar a criptografia no nível do bucket ou do objeto individual. Ativar vários níveis de criptografia tem um custo de desempenho adicional.
Criptografia de dados do GDC
O GDC Storage criptografa seus dados no lado do servidor antes de gravá-los em disco, sem custos extras. Além desse comportamento padrão gerenciado pelo Google, há outras maneiras de criptografar seus dados ao usar o GDC Storage.
Uma opção de criptografia disponível é a criptografia no cliente, que ocorre antes que os dados sejam enviados para o armazenamento do GDC. Esses dados chegam ao GDC Storage criptografados e recebem criptografia no servidor.