静态加密

默认启用静态加密,并提供多种密钥管理选项

查看文档 查看 Console

选择加密选项

Google Cloud Platform 默认会对静态存储的客户数据进行加密,无需您采取任何额外操作。我们提供一系列的加密密钥管理选项来满足您的需求。无论您要处理的是存储、计算还是大数据工作负载,本文都可以帮您找出最适合您的密钥生成、存储和轮替要求的解决方案。您应将加密作为涉及范围更广的数据安保策略的一部分。

Google Cloud Platform 中的数据会分成子文件区块进行存储,每个区块都在存储系统层级以单独的加密密钥进行加密。用于对区块中的数据进行加密的密钥称为“数据加密密钥”(DEK)。由于 Google 的密钥很多,且需要提供低延迟、高可用性的服务,因此这些密钥都存储在用其加密的数据附近。DEK 本身使用“密钥加密密钥”(KEK) 进行加密(也称为“封装”)。客户可以选择其偏好的密钥管理解决方案,来管理为保护数据的 DEK 提供保护的 KEK。

加密 - 题图
KMS 图标
静态加密选项
解决方案 说明 Google Cloud Platform 可用性 用户通常选择以此方式保护的数据
默认加密 无需另行配置便可使用世界级的加密技术
  • 在写入磁盘前系统会自动加密数据
  • 每个加密密钥本身采用一组主密钥进行加密
  • 密钥和加密政策的管理方式与 Google 生产服务一致,并且存储在相同的 KeyStore 中
如需详细了解默认加密,请参阅我们的白皮书
所有 Google Cloud Platform 产品中的静态数据默认都会加密。 了解各项产品的加密粒度 大部分数据
使用 Cloud KMS 实现的“客户管理的加密密钥”(CMEK) 将密钥保存在云端,直接供云服务使用
  • 使用托管在云端的解决方案来管理您的密钥
  • 您可以创建、轮换、自动轮换和销毁对称加密密钥

您可以将 Cloud KMS 中的密钥用于任何 Google Cloud Platform 产品内的应用层加密

您要求自行管理其加密密钥的敏感数据
客户提供的加密密钥 (CSEK) 在本地存储密钥,然后使用这些密钥加密您的云服务数据
  • 将您自己的加密密钥用作 Google Cloud Platform 服务的一部分
  • Google 会在内存中使用密钥,不会将其写入存储空间
  • 您在 API 服务调用中提供密钥
详细了解 CSEK 的保护方式
您要求自行为其生成加密密钥或在本地管理加密密钥的敏感数据