ENCRIPTADO EN REPOSO

Encriptado en reposo de forma predeterminada, con numerosas opciones de administración de claves

Ver documentación Ver consola

Elige la opción de encriptado

Google Cloud Platform cifra de forma predeterminada los datos almacenados de los clientes en reposo, sin que tú tengas que hacer nada más. Te ofrecemos una serie de opciones de administración de claves de encriptado para que elijas la que mejor se ajuste a tus necesidades. La información de esta página te puede ayudar a identificar las mejores soluciones para tus requisitos de generación, almacenamiento y rotación de claves, en función de si buscas un sistema de encriptado para almacenamiento, recursos informáticos o grandes cargas de trabajo de datos. El encriptado debe usarse como un elemento más de una estrategia de seguridad de datos más amplia.

Cuando se almacenan en Google Cloud Platform, los datos se dividen en fragmentos de subarchivos y cada fragmento se cifra con una clave de encriptado individual en el propio almacenamiento. La clave que se utiliza para cifrar los datos de un fragmento se denomina clave de encriptado de datos (DEK). Estas claves se almacenan cerca de los datos que cifran, debido al gran volumen de claves que tiene Google y a la necesidad de contar con una latencia baja y una disponibilidad alta. Las claves de encriptado de datos se cifran (o se "envuelven") con una clave de encriptado de claves (KEK). Los clientes pueden elegir el tipo de solución de administración de claves que prefieran para administrar las KEK que protegen las DEK de sus datos.

Tipo de encriptado
Icono de KMS
Opciones de encriptado en reposo
Solución Descripción Disponibilidad en Google Cloud Platform Datos para los que se suele elegir la opción
Encriptado de forma predeterminada Disfruta de un encriptado de primera clase sin necesidad de realizar más configuraciones:
  • Los datos se cifran automáticamente antes de escribirse en el disco.
  • Cada clave de encriptado se cifra a su vez con un conjunto de claves maestras.
  • Las claves y las políticas de encriptado se administran igual, en el mismo almacén de claves que los servicios de producción de Google.
Obtén más información sobre el encriptado predeterminado en nuestro informe.
Los datos en reposo se cifran de forma predeterminada en todos los productos de Google Cloud Platform. Más información sobre la granularidad del encriptado en cada producto La mayoría de los datos
Claves de encriptado administradas por el cliente (CMEK) con Cloud KMS Conserva las claves en la nube para que las usen directamente los servicios en la nube:
  • Administra tus claves en una solución alojada en la nube.
  • Puedes crear, rotar de forma manual y automática, y destruir claves de encriptado simétricas.

Puedes usar las claves de Cloud KMS para el encriptado de la capa de la aplicación en cualquier producto de Google Cloud Platform.

Datos sensibles para los que necesitas administrar tus propias claves de encriptado.
Claves de encriptado proporcionadas por el cliente (CSEK) Conserva las claves in situ y úsalas para encriptar tus servicios en la nube:
  • Usa tus propias claves de encriptado como parte de los servicios de Google Cloud Platform.
  • Google emplea la clave de la memoria y no la escribe en el almacenamiento.
  • Proporciona las claves dentro de las llamadas de servicio de la API.
Más información sobre cómo se protegen las claves CSEK
Datos sensibles para los que necesitas generar tus propias claves de encriptado o gestionarlas in situ.