VERSCHLÜSSELUNG INAKTIVER DATEN

Standardmäßige Verschlüsselung inaktiver Daten mit verschiedenen Optionen zur Schlüsselverwaltung

Dokumentation ansehen Zur Konsole

Verschlüsselungsoption auswählen

Die Google Cloud Platform verschlüsselt inaktive Kundendaten standardmäßig, ohne dass ein Eingreifen Ihrerseits erforderlich ist. Wir bieten umfassende Optionen, mit denen Sie Ihre Verschlüsselungsschlüssel ganz nach Ihren Anforderungen verwalten können. Diese Seite hilft Ihnen, Lösungen zu finden, die Ihren Anforderungen an Generierung, Speicherung und Rotation von Schlüsseln am besten entsprechen, sei es für Storage-, Computing- oder große Datenarbeitslasten. Verschlüsselung sollte als eine Komponente im Rahmen einer breiter angelegten Strategie für die Datensicherheit eingesetzt werden.

Zu speichernde Daten werden in der Google Cloud Platform in Blöcke unterteilt, von denen jeder einzelne auf Speicherebene mit einem individuellen Verschlüsselungsschlüssel verschlüsselt wird. Zum Verschlüsseln von Daten in einem Block verwendete Schlüssel werden als Datenverschlüsselungsschlüssel (Data Encryption Keys, DEKs) bezeichnet. Aufgrund der hohen Anzahl von Schlüsseln bei Google und der Notwendigkeit einer geringen Latenz und hohen Verfügbarkeit werden diese Schlüssel in der Nähe der Daten gespeichert, die sie verschlüsseln. Die DEKs werden mit einem Schlüsselverschlüsselungsschlüssel (KEK, Key Encryption Key) verschlüsselt ("verpackt"). Kunden können eine von ihnen bevorzugte Schlüsselverwaltungslösung aussuchen, die sie zur Verwaltung der KEKs einsetzen, welche die DEKs schützen, die wiederum ihre Daten schützen.

Führende Verschlüsselung
KMS-Symbol
Optionen für die Verschlüsselung inaktiver Daten
Lösung Beschreibung Verfügbarkeit auf der Google Cloud Platform Die meisten Datennutzer schützen auf diese Art…
Standardmäßige Verschlüsselung Diese Methode bietet erstklassige Verschlüsselung ohne zusätzlichen Konfigurationsaufwand.
  • Daten werden vor dem Schreiben auf das Laufwerk automatisch verschlüsselt.
  • Jeder Verschlüsselungsschlüssel wird wiederum mit einem Satz von Master-Schlüsseln verschlüsselt.
  • Die Schlüssel und die Verschlüsselungsrichtlinien werden auf dieselbe Weise und im selben Schlüsselspeicher verwaltet wie bei den Diensten, die Google anbietet.
Weitere Informationen zur standardmäßigen Verschlüsselung finden Sie in unserem Whitepaper.
Inaktive Daten werden in allen Google Cloud Platform-Produkten standardmäßig verschlüsselt. Informationen zur Granularität der produktbezogenen Verschlüsselung …die Mehrzahl ihrer Daten.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK, Customer-Managed Encryption Keys) unter Verwendung von Cloud KMS Die Schlüssel werden zur direkten Verwendung durch Cloud-Dienste in der Cloud aufbewahrt.
  • Verwalten Sie Ihre Schlüssel mit einer in der Cloud gehosteten Lösung.
  • Sie können symmetrische Verschlüsselungsschlüssel erstellen, rotieren oder automatisch rotieren lassen sowie diese löschen.

Sie können die Schlüssel in Cloud KMS bei jedem beliebigen Google Cloud Platform-Produkt zur Verschlüsselung auf Anwendungsebene einsetzen.

…vertrauliche Daten, bei denen die Verwaltung der eigenen Verschlüsselungsschlüssel ein Muss ist.
Vom Kunden bereitgestellte Verschlüsselungsschlüssel (CSEK, Customer-Supplied Encryption Keys) Sie bewahren die Schlüssel zur Verschlüsselung Ihrer Cloud-Dienste bei Ihnen vor Ort auf.
  • Verwenden Sie für Dienste auf der Google Cloud Platform eigene Verschlüsselungsschlüssel.
  • Google verwendet den Schlüssel im Arbeitsspeicher, speichert ihn aber nicht.
  • Sie stellen die Schlüssel über API-Dienstaufrufe bereit.
Weitere Informationen darüber, wie CSEK geschützt werden
…vertrauliche Daten, bei denen die Generierung der eigenen Verschlüsselungsschlüssel bzw. deren Verwaltung vor Ort ein Muss ist.