ENCRIPTACIÓN EN REPOSO

Encriptación en reposo de forma predeterminada, con varias opciones de administración de claves

Ver la documentación Ver Console

Cómo elegir una opción de encriptación

Google Cloud Platform encripta los datos del cliente almacenados en reposo de forma predeterminada, sin que sea necesario que realices ninguna acción adicional. Ofrecemos varias opciones de administración de claves de encriptación para satisfacer tus necesidades. Esta página te ayuda a identificar las soluciones que se ajustan mejor a tus requisitos de creación, almacenamiento y rotación de claves, ya sea para tus cargas de trabajo de almacenamiento, procesamiento o de macrodatos. La encriptación debe utilizarse como una pieza de una estrategia de seguridad de datos más amplia.

Los datos en Google Cloud Platform se dividen en fragmentos de subarchivos para almacenar; y cada fragmento se encripta a nivel de almacenamiento con una clave de encriptación individual. La clave utilizada para encriptar los datos en un fragmento se denomina clave de encriptación de datos (DEK). Debido a la gran cantidad de claves que posee Google, y a la necesidad de bajar la latencia y aumentar la disponibilidad, estas claves se almacenan cerca de los datos que encriptan. Las DEK se encriptan con (o "están unidas" por) una clave de encriptación de claves (KEK). Los clientes pueden elegir qué solución de administración de claves prefieren para administrar las KEK que protegen las DEK, que a su vez protegen sus datos.

Cliente potencial de encriptación
Ícono de KMS
Opciones de encriptación en reposo
Solución Descripción Disponibilidad de Google Cloud Platform Los usuarios de datos por lo general eligen este tipo de protección
Encriptación predeterminada Disfruta de encriptación de primer nivel sin la necesidad de realizar más configuraciones
  • Los datos se encriptan automáticamente antes de guardarse en el disco.
  • Cada clave de encriptación está encriptada con una serie de claves maestras.
  • Las políticas de claves y encriptación se administran de la misma manera y en el mismo almacenamiento de claves que los servicios de producción de Google.
Obtén más información sobre la encriptación predeterminada en nuestro informe
Los datos en reposo están encriptados de manera predeterminada en todos los productos de Google Cloud Platform. Más información sobre el nivel de detalle de la encriptación por producto La mayoría de los datos
Claves de encriptación administradas por el cliente (CMEK) que usan Cloud KMS Mantén las claves en la nube para que los servicios de nube puedan acceder directamente a ellas
  • Administra tus claves en una solución alojada en la nube.
  • Puedes crear, rotar, rotar automáticamente y destruir claves de encriptación simétricas.

Puedes usar claves en Cloud KMS para encriptación de capas de aplicaciones en cualquier producto de Google Cloud Platform.

Datos confidenciales en los que debes administrar tu propia clave de encriptación
Claves de encriptación suministradas por el cliente (CSEK) Mantén las claves in situ y úsalas para encriptar tus servicios de nube
  • Usa tus propias claves de encriptación como parte de los servicios de Google Cloud Platform.
  • Google utiliza las claves en memoria y no las guarda en almacenamiento.
  • Tú proporcionas las claves como parte de las llamadas de servicio de la API.
Obtén más información sobre la protección de CSEK
Datos confidenciales donde es necesario que generes tu propia clave de encriptación o la administres in situ