CRIPTOGRAFIA EM REPOUSO

Criptografia em repouso por padrão, com muitas opções de gerenciamento de chave

Consulte a documentação Acesse o Console

Como escolher uma opção de criptografia

Por padrão, o Google Cloud Platform criptografa dados de clientes armazenados em repouso sem que você tenha que intervir no processo. Oferecemos várias opções de gerenciamento de chaves criptográficas para atender às suas necessidades. Essa página ajudará na identificação das soluções que melhor se adaptam às suas necessidades de geração, armazenamento e rotação de chave, seja para armazenamento, computação ou cargas de trabalho de dados. A criptografia deve ser usada como um dos elementos da estratégia de segurança de dados.

No Google Cloud Platform, os dados são divididos em grupos de subarquivos para serem armazenados e cada um deles é criptografado no nível de armazenamento com uma chave individual. A chave usada para criptografar os dados em um grupo é chamada chave de criptografia de dados (DEK, na sigla em inglês). Devido ao grande volume de chaves no Google e à necessidade de baixa latência e alta disponibilidade, essas chaves são armazenadas próximas aos dados criptografados. As DEKs são criptografadas com (ou “envolvidas” por) uma chave de criptografia de chave (KEK). Os clientes podem escolher a solução de gerenciamento de chaves preferida para administrar as KEKs que protegem as DEKs responsáveis pela proteção dos dados.

Líder em criptografia
Ícone do KMS
Opções de criptografia em repouso
Solução Descrição Disponibilidade para Google Cloud Platform Dados para os quais os usuários em geral escolhem esta proteção
Criptografia por padrão Criptografia excelente que dispensa configurações
  • Os dados são criptografados automaticamente antes da gravação no disco.
  • Cada chave de criptografia é criptografada com um conjunto de chaves mestras.
  • As políticas de chaves e criptografias são gerenciadas do mesmo modo, na mesma keystore, que os serviços de produção do Google.
Veja nosso artigo para saber mais sobre criptografia padrão
Os dados em repouso são criptografados por padrão em todos os produtos do Google Cloud Platform. Leia mais sobre a granularidade de criptografia por produto A maioria dos dados.
Chaves de criptografia gerenciadas pelo cliente (CMEK) usando o Cloud KMS Mantenha as chaves na nuvem para uso direto por serviços de nuvem.
  • Gerencie suas chaves em uma solução hospedada em nuvem.
  • Crie, rotacione (manualmente e automaticamente) e destrua chaves de criptografia simétricas.

Use chaves no Cloud KMS para criptografia em camadas de aplicativo em qualquer produto do Google Cloud Platform.

Dados confidenciais em que há necessidade de gerenciar as próprias chaves de criptografia.
Chaves de criptografia fornecidas pelo cliente (CSEK) Mantenha as chaves no local e use-as para criptografar os serviços de nuvem
  • Use suas próprias chaves de criptografia como parte dos serviços no Google Cloud Platform.
  • O Google usa a chave na memória e não faz seu armazenamento.
  • Você fornece as chaves como parte das chamadas de serviço de API.
Saiba mais sobre como é feita a proteção das CSEKs
Dados confidenciais em que há necessidade de uma chave de criptografia própria ou de gerenciamento local.