データ暗号化

Cloud Storage は、データをディスクに書き込む前に常にサーバー側で暗号化します。暗号化に追加料金はかかりません。この標準の Google が管理する動作の他に、Cloud Storage の使用時にデータを暗号化することもできます。

転送データを暗号化することで、ユーザーのサイトとクラウド プロバイダの間、または 2 つのサービスの間を移動する通信データが傍受された場合でも、そのデータのセキュリティが確保されます。この保護は、送信前のデータ暗号化、各エンドポイントの認証、到着時のデータ解読と検証により実現されます。

使用中データの暗号化は、サーバーによるコンピューティングの実行に使用されているデータを保護します。Confidential Computing を使用すると、Google Cloud は Confidential VMs と Confidential Google Kubernetes Engine Node で使用中のデータを暗号化します。

Cloud Key Management　Service によって生成された鍵の使用を選択できます。顧客管理の暗号鍵（CMEK）を使用する場合、その鍵は Cloud KMS に保存されます。暗号鍵を保持するプロジェクトをバケットを含むプロジェクトから切り離すことで、職掌分散を適切に実施できます。

Cloud HSM は、FIPS 140-2 レベル 3 認定 HSM のクラスタで暗号鍵のホスティングや暗号化オペレーションを実行できるようにする、クラウドでホストされたハードウェア セキュリティ モジュール（HSM）サービスです。HSM クラスタは Google によって管理されるため、クラスタリング、スケーリング、パッチ適用などについて心配する必要はありません。Cloud HSM は Cloud KMS をフロントエンドとして使用するため、Cloud KMS によって提供されるすべての利便性と機能を活用できます。