ENCRIPTADO EN REPOSO
Cifrado en reposo de forma predeterminada, con numerosas opciones de administración de claves
Ver documentación Ver consolaElige una opción de encriptado
Google Cloud Platform cifra de forma predeterminada los datos almacenados de los clientes en reposo, sin que tú tengas que hacer nada más. Te ofrecemos una serie de opciones de administración de claves de encriptado para que elijas la que mejor se ajuste a tus necesidades. La información de esta página te puede ayudar a identificar las mejores soluciones para tus requisitos de generación, almacenamiento y rotación de claves, en función de si buscas un sistema de encriptado para almacenamiento, recursos informáticos o grandes cargas de trabajo de datos. El encriptado debe usarse como un elemento más de una estrategia de seguridad de datos más amplia.
Cuando se almacenan en Google Cloud Platform, los datos se dividen en fragmentos de subarchivos y cada fragmento se cifra con una clave de encriptado individual en el propio almacenamiento. La clave que se utiliza para cifrar los datos de un fragmento se denomina clave de encriptado de datos (DEK). Estas claves se almacenan cerca de los datos que cifran, debido al gran volumen de claves que tiene Google y a la necesidad de contar con una latencia baja y una disponibilidad alta. Las claves de encriptado de datos se cifran (o se "envuelven") con una clave de encriptado de claves (KEK). Los clientes pueden elegir el tipo de solución de administración de claves que prefieran para administrar las KEK que protegen las DEK de sus datos.
Opciones de encriptado en reposo | |||
---|---|---|---|
Solución | Descripción | Disponibilidad en Google Cloud Platform | Datos para los que se suele elegir la opción |
Encriptado de forma predeterminada | |||
Encriptado de forma predeterminada | Disfruta de un encriptado de primera clase sin necesidad de realizar más configuraciones:
|
Los datos en reposo se cifran de forma predeterminada en todos los productos de Google Cloud Platform. Obtén más información sobre la granularidad del encriptado en cada producto. | La mayoría de los datos |
Claves de encriptado administradas por el cliente (CMEK) con Cloud KMS | |||
Claves de encriptado administradas por el cliente (CMEK) con Cloud KMS | Conserva las claves en la nube para que las usen directamente los servicios en la nube:
|
Puedes usar las claves de Cloud KMS para el encriptado a nivel de aplicación en cualquier producto de Google Cloud Platform. | Datos sensibles para los que necesitas administrar tus propias claves de encriptado. |
Claves de encriptado proporcionadas por el cliente (CSEK) | |||
Claves de encriptado proporcionadas por el cliente (CSEK) | Conserva las claves on‑premise y úsalas para encriptar tus servicios en la nube:
|
Datos sensibles para los que necesitas generar tus propias claves de encriptado o gestionarlas in situ. |