ENCRIPTADO EN REPOSO

Encriptado en reposo de forma predeterminada, con numerosas opciones de gestión de claves

Elige una opción de encriptado

Google Cloud Platform cifra de forma predeterminada los datos almacenados de los clientes en reposo, sin que tú tengas que hacer nada más. Te ofrecemos una serie de opciones de administración de claves de encriptado para que elijas la que mejor se ajuste a tus necesidades. La información de esta página te puede ayudar a identificar las mejores soluciones para tus requisitos de generación, almacenamiento y rotación de claves, en función de si buscas un sistema de encriptado para almacenamiento, recursos informáticos o grandes cargas de trabajo de datos. El encriptado debe usarse como un elemento más de una estrategia de seguridad de datos más amplia.

Cuando se almacenan en Google Cloud Platform, los datos se dividen en fragmentos de subarchivos y cada fragmento se cifra con una clave de encriptado individual en el propio almacenamiento. La clave que se utiliza para cifrar los datos de un fragmento se denomina clave de encriptado de datos (DEK). Estas claves se almacenan cerca de los datos que cifran, debido al gran volumen de claves que tiene Google y a la necesidad de contar con una latencia baja y una disponibilidad alta. Las claves de encriptado de datos se cifran (o se "envuelven") con una clave de encriptado de claves (KEK). Los clientes pueden elegir el tipo de solución de administración de claves que prefieran para administrar las KEK que protegen las DEK de sus datos.

Opciones de encriptado en reposo
Solución	Descripción	Disponibilidad en Google Cloud Platform	Datos para los que se suele elegir la opción
Encriptado de forma predeterminada
Encriptado de forma predeterminada	Disfruta de un encriptado de primera clase sin necesidad de realizar más configuraciones: Los datos se cifran automáticamente antes de escribirse en el disco. Cada clave de encriptado se cifra a su vez con un conjunto de claves maestras. Las claves y las políticas de encriptado se gestionan igual y en el mismo almacén de claves que los servicios de producción de Google. Obtén más información sobre el encriptado predeterminado en nuestro informe.	Los datos en reposo se encriptan de forma predeterminada en todos los productos de Google Cloud Platform. Obtén más información sobre la granularidad del encriptado en cada producto.	La mayoría de los datos
Claves de encriptado gestionadas por el cliente (CMEK) con Cloud KMS
Claves de encriptado gestionadas por el cliente (CMEK) con Cloud KMS	Conserva las claves en la nube para que las usen directamente los servicios en la nube: Administra tus claves en una solución alojada en la nube. Puedes crear claves de encriptado simétricas, rotarlas de forma manual y automática, y destruirlas.	Preparación de AI Platform BigQuery Cloud Build Cloud Dataproc Container Registry Cloud SQL Cloud Storage Compute Engine Kubernetes Engine Cloud Logging Pub/Sub Puedes usar las claves de Cloud KMS para el encriptado a nivel de aplicación en cualquier producto de Google Cloud Platform.	Datos sensibles para los que necesitas administrar tus propias claves de encriptado.
Claves de encriptado proporcionadas por el cliente (CSEK)
Claves de encriptado proporcionadas por el cliente (CSEK)	Conserva las claves on‑premise y úsalas para encriptar tus servicios en la nube: Usa tus propias claves de encriptado como parte de los servicios de Google Cloud Platform. Google emplea la clave de la memoria y no la escribe en el almacenamiento. Proporciona las claves dentro de las llamadas de servicio de la API. Obtén más información sobre cómo se protegen las claves CSEK.	Cloud Storage Compute Engine	Datos sensibles para los que necesitas generar tus propias claves de encriptado o gestionarlas on-premise.

Ver documentación Ver consola