CHIFFREMENT AU REPOS

Chiffrement au repos par défaut, avec différentes options de gestion des clés

Consulter la documentation Accéder à la console

Choisir une option de chiffrement

Par défaut, Google Cloud Platform chiffre les données client stockées au repos, sans aucune autre action requise de votre part. Nous proposons toute une gamme d'options de gestion des clés pour répondre à vos besoins. Cette page a pour objectif de vous aider à identifier les solutions les plus adaptées à vos exigences en termes de génération, de stockage et de rotation des clés, que ce soit pour des charges de travail de stockage, de calcul ou de big data. Le chiffrement doit venir s'inscrire dans le cadre d'une stratégie globale de la sécurité des données.

Les données sont stockées sur Google Cloud Platform sous la forme de fragments de sous-fichiers, et chaque fragment est chiffré au niveau du stockage avec une clé de chiffrement individuelle. La clé utilisée pour chiffrer les données contenues dans un fragment est appelée "clé de chiffrement des données" (DEK, Data Encryption Key). En raison de la nécessité d'une faible latence et d'une disponibilité élevée, ainsi que du grand nombre de clés chez Google, celles-ci sont stockées à proximité des données qu'elles chiffrent. Les DEK sont elles-mêmes chiffrées (ou "encapsulées") à l'aide d'une clé de chiffrement de clé (KEK, Key Encryption Key). Les clients peuvent choisir la solution de gestion des clés qu'ils souhaitent pour gérer les KEK qui protègent les DEK, lesquelles assurent la protection de leurs données.

Encryption Lead
KMS icon
Options de chiffrement au repos
Solution Description Disponibilité sur Google Cloud Platform Données que les utilisateurs choisissent généralement de protéger
Chiffrement par défaut Chiffrement ultra-performant sans nécessité de configurer quoi que ce soit
  • Les données sont automatiquement chiffrées avant d'être écrites sur les disques.
  • Chaque clé de chiffrement est elle-même chiffrée avec un ensemble de clés principales.
  • Les clés et les règles de chiffrement sont gérées de la même façon et stockées dans le même keystore que celles des autres services de production de Google.
Consultez notre livre blanc pour en savoir plus sur le chiffrement par défaut.
Les données au repos sont chiffrées par défaut dans tous les produits Google Cloud Platform. En savoir plus sur les niveaux de précision du chiffrement par produit La plupart des données
Clés de chiffrement gérées par les clients (CMEK) via Cloud KMS Stockage des clés dans le cloud, pour une utilisation directe par les services cloud
  • Gérez vos clés via un service hébergé dans le cloud.
  • Vous pouvez créer, alterner (automatiquement ou non) et détruire les clés de chiffrement symétriques.

Vous pouvez utiliser les clés générées via Cloud KMS pour le chiffrement de la couche d'application dans n'importe quel produit Google Cloud Platform.

Données sensibles nécessitant la gestion de votre propre clé de chiffrement
Clés de chiffrement fournies par le client (CSEK) Stockage des clés sur site et chiffrement de vos services cloud à l'aide de ces clés
  • Utilisez vos propres clés de chiffrement dans le cadre de services sur Google Cloud Platform.
  • Google utilise la clé en mémoire et ne l'écrit pas sur l'espace de stockage.
  • Vous fournissez les clés dans le cadre d'appels de services d'API.
En savoir plus sur la protection des clés CSEK
Données sensibles nécessitant de générer votre propre clé de chiffrement ou de la gérer sur site