ENCRIPTADO EN REPOSO

Encriptado en reposo de forma predeterminada, con numerosas opciones de gestión de claves

Ver documentación Ver consola

Elegir una opción de encriptado

Google Cloud Platform encripta de forma predeterminada los datos almacenados en reposo de los clientes, sin que tú tengas que hacer nada más. Te ofrecemos una serie de opciones de gestión de claves de encriptado para que elijas la que mejor se ajuste a tus necesidades. En esta página encontrarás información que te ayudará a identificar las mejores soluciones para tus requisitos de generación, almacenamiento y rotación de claves, en función de si buscas un sistema de encriptado para almacenamiento, recursos de computación o grandes cargas de trabajo de datos. El encriptado debe entenderse como un elemento más de una estrategia de seguridad de datos más amplia.

Cuando se almacenan en Google Cloud Platform, los datos se dividen en fragmentos de subarchivos y cada fragmento se encripta con una clave de encriptado concreta en el propio almacenamiento. La clave que se utiliza para encriptar los datos de un fragmento se denomina clave de encriptado de datos (DEK). Estas claves se almacenan cerca de los datos que encriptan, debido al gran volumen de claves que tenemos en Google y a la necesidad de ofrecer una latencia baja y una disponibilidad alta. Las claves de encriptado de datos se encriptan (o se "encapsulan") con una clave de encriptado de claves (KEK). Los clientes pueden elegir el tipo de solución de gestión de claves que prefieran para gestionar las KEK que protegen las DEK, que a su vez salvaguardan los datos.

Tipo de encriptado
Icono de KMS
Opciones de encriptado en reposo
Solución Descripción Disponibilidad en Google Cloud Platform Datos para los que se suele elegir la opción
Encriptado de forma predeterminada Disfruta de un encriptado de primera clase sin necesidad de realizar más configuraciones:
  • Los datos se encriptan automáticamente antes de escribirse en el disco.
  • Cada clave de encriptado se encripta, a su vez, con un conjunto de claves maestras.
  • Las claves y las políticas de encriptado se gestionan de la misma forma y en el mismo almacén de claves que utilizan los servicios de producción de Google.
Consulta más información sobre el encriptado predeterminado en nuestro informe.
Los datos en reposo se encriptan de forma predeterminada en todos los productos de Google Cloud Platform. Obtén más información sobre la granularidad del encriptado en cada producto. La mayoría de los datos.
Claves de encriptado gestionadas por el cliente (CMEK) con Cloud KMS Guarda las claves en la nube para que las usen directamente los servicios alojados en ella:
  • Gestiona tus claves en una solución alojada en la nube.
  • Podrás crear, rotar (tanto de forma manual como automática) y eliminar claves de encriptado simétricas.

Puedes usar las claves de Cloud KMS para el encriptado a nivel de aplicación en cualquier producto de Google Cloud Platform.

Datos sensibles para los que necesitas gestionar tus propias claves de encriptado.
Claves de encriptado proporcionadas por el cliente (CSEK) Guarda las claves on‑premise y úsalas para encriptar tus servicios en la nube:
  • Usa tus propias claves de encriptado como parte de los servicios de Google Cloud Platform.
  • Google emplea la clave de la memoria y no la escribe en el almacenamiento.
  • Proporciona las claves dentro de las llamadas de servicio de la API.
Más información sobre cómo se protegen las claves CSEK
Datos sensibles para los que necesitas generar tus propias claves de encriptado o gestionarlas on‑premise.