ENCRIPTACIÓN EN REPOSO

Encriptación en reposo de forma predeterminada con varias opciones de administración de claves

Elige una opción de encriptación

Google Cloud Platform encripta los datos del cliente almacenados en reposo de forma predeterminada, sin que sea necesario que realices ninguna acción adicional. Ofrecemos varias opciones de administración de claves de encriptación para satisfacer tus necesidades. Esta página te ayuda a identificar las soluciones que se ajustan mejor a tus requisitos de creación, almacenamiento y rotación de claves, ya sea para tus cargas de trabajo de almacenamiento, procesamiento o de macrodatos. La encriptación debe utilizarse como una pieza de una estrategia de seguridad de datos más amplia.

Los datos en Google Cloud Platform se dividen en fragmentos de subarchivos para almacenar; y cada fragmento se encripta a nivel de almacenamiento con una clave de encriptación individual. La clave utilizada para encriptar los datos en un fragmento se denomina clave de encriptación de datos (DEK). Debido a la gran cantidad de claves que posee Google, y a la necesidad de bajar la latencia y aumentar la disponibilidad, estas claves se almacenan cerca de los datos que encriptan. Las DEK se encriptan (o "están unidas") con una clave de encriptación de claves (KEK). Los clientes pueden elegir qué solución de administración de claves prefieren para administrar las KEK que protegen las DEK, que, a su vez, protegen sus datos.

Opciones de encriptación en reposo
Solución	Descripción	Disponibilidad de Google Cloud Platform	Los usuarios de datos, por lo general, eligen este tipo de protección
Encriptación predeterminada
Encriptación predeterminada	Disfruta de una encriptación de primer nivel sin necesidad de configuraciones adicionales Los datos se encriptan automáticamente antes de guardarse en el disco. Cada clave de encriptación está encriptada con una serie de claves maestras. Las políticas sobre claves y encriptación se administran de la misma manera, en el mismo almacén de claves, según los servicios de producción de Google. Obtén más información sobre la encriptación predeterminada en nuestro informe	Los datos en reposo están encriptados de forma predeterminada en todos los productos de Google Cloud Platform. Más información sobre el nivel de detalle de la encriptación por producto	La mayoría de los datos
Claves de encriptación administradas por el cliente (CMEK) que usan Cloud KMS
Claves de encriptación administradas por el cliente (CMEK) que usan Cloud KMS	Mantén las claves en la nube, para que los servicios de nube tengan acceso directo a ellas Administra tus claves en una solución alojada en la nube Puedes crear, rotar, rotar de forma automática y destruir claves de encriptación simétrica	AI Platform Training BigQuery Cloud Build Cloud Dataproc Container Registry Cloud SQL Cloud Storage Compute Engine Kubernetes Engine Cloud Logging Pub/Sub Puedes usar claves en Cloud KMS para encriptación de capas de aplicaciones en cualquier producto de Google Cloud Platform.	Datos sensibles en los que debes administrar tu propia clave de encriptación
Claves de encriptación suministradas por el cliente (CSEK)
Claves de encriptación suministradas por el cliente (CSEK)	Mantén tus claves locales, y úsalas para encriptar tus servicios de nube Usa tus propias claves de encriptación como parte de los servicios de Google Cloud Platform. Google utiliza las claves en memoria y no las guarda en almacenamiento. Tú proporcionas las claves como parte de las llamadas de servicio a la API. Obtén más información sobre la protección de CSEK	Cloud Storage Compute Engine	Datos sensibles en los que debes generar tu propia clave de encriptación o administrarla de manera local

Ver la documentación Ver Console