CHIFFREMENT AU REPOS
Chiffrement au repos par défaut, avec différentes options de gestion des clés
Consulter la documentation Accéder à la ConsoleChoisir une option de chiffrement
Par défaut, Google Cloud Platform chiffre les données client stockées au repos, sans aucune autre action requise de votre part. Nous proposons toute une gamme d'options de gestion des clés de chiffrement pour répondre à vos besoins. Cette page a pour objectif de vous aider à identifier les solutions les plus adaptées à vos exigences en termes de génération, de stockage et de rotation des clés, que ce soit pour des charges de travail de stockage, de calcul ou de big data. Le chiffrement doit venir s'inscrire dans le cadre d'une stratégie globale de la sécurité des données.
Les données sont stockées sur Google Cloud Platform sous la forme de fragments de sous-fichiers, et chaque fragment est chiffré au niveau du stockage avec une clé de chiffrement individuelle. La clé utilisée pour chiffrer les données contenues dans un fragment est appelée "clé de chiffrement des données" (DEK, Data Encryption Key). En raison de la nécessité d'une faible latence et d'une disponibilité élevée, ainsi que du grand nombre de clés chez Google, celles-ci sont stockées à proximité des données qu'elles chiffrent. Les DEK sont elles-mêmes chiffrées (ou "encapsulées") à l'aide d'une clé de chiffrement de clé (KEK, Key Encryption Key). Les clients peuvent choisir la solution de gestion des clés qu'ils souhaitent pour gérer les KEK qui protègent les DEK, lesquelles assurent la protection de leurs données.
Options de chiffrement au repos | |||
---|---|---|---|
Solution | Description | Disponibilité sur Google Cloud Platform | Données que les utilisateurs choisissent généralement de protéger |
Chiffrement par défaut | |||
Chiffrement par défaut |
Chiffrement ultra-performant sans nécessité de configurer quoi que ce soit
|
Les données au repos sont chiffrées par défaut dans tous les produits Google Cloud Platform. En savoir plus sur les niveaux de précision du chiffrement par produit | La plupart des données |
Clés de chiffrement gérées par les clients (CMEK) via Cloud KMS | |||
Clés de chiffrement gérées par les clients (CMEK) via Cloud KMS |
Stockage des clés dans le cloud, pour une utilisation directe par les services cloud
|
Vous pouvez utiliser les clés générées via Cloud KMS pour le chiffrement de la couche d'application dans n'importe quel produit Google Cloud Platform. |
Données sensibles nécessitant la gestion de votre propre clé de chiffrement |
Clés de chiffrement fournies par le client (CSEK) | |||
Clés de chiffrement fournies par le client (CSEK) |
Stockage des clés sur site et chiffrement de vos services cloud à l'aide de ces clés
|
Données sensibles nécessitant de générer votre propre clé de chiffrement ou de la gérer sur site |