ENCRIPTACIÓN EN REPOSO

Encriptación en reposo de forma predeterminada con varias opciones de administración de claves

Ver la documentación Ver Console

Elige una opción de encriptación

Google Cloud Platform encripta los datos del cliente almacenados en reposo de forma predeterminada, sin que sea necesario que realices ninguna acción adicional. Ofrecemos varias opciones de administración de claves de encriptación para satisfacer tus necesidades. Esta página te ayuda a identificar las soluciones que se ajustan mejor a tus requisitos de creación, almacenamiento y rotación de claves, ya sea para tus cargas de trabajo de almacenamiento, procesamiento o macrodatos. La encriptación debe utilizarse como una pieza de una estrategia de seguridad de datos más amplia.

Los datos en Google Cloud Platform se dividen en fragmentos de subarchivos para almacenar; y cada fragmento se encripta a nivel de almacenamiento con una clave de encriptación individual. La clave utilizada para encriptar los datos en un fragmento se denomina clave de encriptación de datos (DEK). Debido a la gran cantidad de claves que posee Google y a la necesidad de bajar la latencia y de aumentar la disponibilidad, estas claves se almacenan cerca de los datos que encriptan. Las DEK se encriptan con (o "están unidas" por) una clave de encriptación de claves (KEK). Los clientes pueden elegir qué solución de administración de claves prefieren para administrar las KEK que protegen las DEK, que, a su vez, protegen sus datos.

Ejemplo de encriptación
Ícono de KMS
Opciones de encriptación en reposo
Solución Descripción Disponibilidad de Google Cloud Platform Los usuarios de datos, por lo general, eligen este tipo de protección
Encriptación predeterminada Disfruta de una encriptación de primer nivel sin necesidad de configuraciones adicionales.
  • Los datos se encriptan automáticamente antes de guardarse en el disco.
  • Cada clave de encriptación está encriptada con una serie de claves maestras.
  • Las políticas sobre claves y encriptación se administran de la misma manera, en el mismo almacén de claves, según los servicios de producción de Google.
Obtén más información sobre la encriptación predeterminada en nuestro informe.
Los datos en reposo están encriptados de forma predeterminada en todos los productos de Google Cloud Platform. Más información sobre el nivel de detalle de la encriptación por producto. La mayoría de los datos
Claves de encriptación administradas por el cliente (CMEK) que usan Cloud KMS Mantén las claves en la nube para que los servicios de nube puedan acceder directamente a ellas.
  • Administra tus claves en una solución alojada en la nube.
  • Puedes crear, rotar, rotar automáticamente y destruir claves de encriptación simétricas.

Puedes usar claves en Cloud KMS para encriptación de capas de aplicaciones en cualquier producto de Google Cloud Platform.

Datos sensibles en los que debes administrar tu propia clave de encriptación.
Claves de encriptación suministradas por el cliente (CSEK) Mantén tus claves locales y úsalas para encriptar tus servicios de nube.
  • Usa tus propias claves de encriptación como parte de los servicios de Google Cloud Platform.
  • Google utiliza las claves en memoria y no las guarda en almacenamiento.
  • Tú proporcionas las claves como parte de las llamadas de servicio a la API.
Obtén más información sobre la protección de CSEK.
Datos sensibles en los que debes generar tu propia clave de encriptación o administrarla de manera local