選擇加密選項
在預設情況下,Google Cloud Platform 會為客戶所存放的靜態資料進行加密,您無需採取任何行動。為了滿足您的需求,我們提供了一系列加密金鑰管理選項。無論您是在考慮儲存、運算或大數據工作負載的解決方案,都可透過本頁說明為自己的金鑰產生、儲存和輪替作業選擇最符合需求的選項。我們認為資料安全性策略應納入加密機制,讓保護範圍更為全面。
Google Cloud Platform 中的資料會分成多個子檔案區塊以便儲存,每個區塊在儲存層級中都會以個別加密金鑰進行加密處理。用來加密區塊中資料的金鑰稱為資料加密金鑰 (DEK)。由於 Google 擁有大量金鑰,且需提供低延遲和高可用性的服務,因此這些金鑰會儲存在所加密的資料附近。DEK 會使用「金鑰加密金鑰」(KEK) 進行加密 (或稱為「包裝」)。對於做為資料保護機制的 DEK,客戶可選擇自己偏好的金鑰管理解決方案,管理用於保護 DEK 的 KEK。
| 靜態資料加密選項 | |||
|---|---|---|---|
| 解決方案 | 說明 | Google Cloud Platform 的提供情形 | 使用者通常用來保護的資料 |
| 預設採用加密機制 | |||
| 預設採用加密機制 | 不必另行設定即可使用世界級的加密機制
|
根據預設,所有 Google Cloud Platform 產品中的靜態資料皆會經過加密處理。參閱各產品的詳細資料 | 大部分的資料 |
| 使用 Cloud KMS 的客戶管理加密金鑰 (CMEK) | |||
| 使用 Cloud KMS 的客戶管理加密金鑰 (CMEK) | 將金鑰儲存在雲端,以便透過雲端服務直接使用
|
您可以在任何 Google Cloud Platform 產品中使用 Cloud KMS 的金鑰進行應用程式層加密 | 依規定您必須自己管理加密金鑰的機密資料 |
| 由客戶提供的加密金鑰 (CSEK) | |||
| 由客戶提供的加密金鑰 (CSEK) | 將金鑰儲存在內部部署系統中,並用於加密雲端服務
|
依規定您必須自行產生加密金鑰,或在內部部署系統中管理金鑰的機密資料 | |