Encriptação por parte do servidor

O Firestore encripta automaticamente todos os dados antes de serem escritos no disco. Não é necessária nenhuma configuração e não tem de modificar a forma como acede ao serviço. Os dados são descifrados de forma automática e transparente quando são lidos por um utilizador autorizado.

Gestão de chaves

Com a encriptação do lado do servidor, pode permitir que a Google faça a gestão das chaves criptográficas em seu nome ou usar chaves de encriptação geridas pelo cliente (CMEK) para gerir as chaves.

Por predefinição, a Google gere as chaves criptográficas em seu nome através dos mesmos sistemas de gestão de chaves reforçados que usamos para os nossos próprios dados encriptados, incluindo controlos de acesso às chaves e auditoria rigorosos. Os dados e os metadados de cada objeto do Firestore são encriptados, e cada chave de encriptação é encriptada com um conjunto de chaves principais que são rodadas regularmente.

Para obter informações sobre a gestão das chaves, consulte o artigo CMEK para o Firestore.

Encriptação do lado do cliente

A encriptação por parte do servidor pode ser usada em combinação com a encriptação por parte do cliente. Na encriptação por parte do cliente, gere as suas próprias chaves de encriptação e encripta os dados antes de os escrever no Firestore. Neste caso, os seus dados são encriptados duas vezes: uma com as suas chaves e outra com as chaves do lado do servidor.

Para proteger os seus dados à medida que viajam pela Internet durante as operações de leitura e escrita, usamos o protocolo Transport Layer Security (TLS). Para mais informações sobre as versões do TLS suportadas, consulte o artigo Encriptação em trânsito no Google Cloud.

O que se segue?

Para mais informações sobre a encriptação em repouso para o Firestore e outros produtos Google Cloud , consulte o artigo Encriptação em repouso no Google Cloud.