O armazenamento na nuvem encripta sempre os seus dados no lado do servidor, antes de serem gravados no disco, sem custos adicionais. Além deste comportamento padrão do Cloud Storage, existem formas adicionais de encriptar os seus dados quando usa o Cloud Storage. Segue-se um resumo das opções de encriptação disponíveis:
Encriptação do lado do servidor: encriptação que ocorre depois de o Cloud Storage receber os seus dados, mas antes de os dados serem escritos no disco e armazenados.
Chaves de encriptação geridas pelo cliente (CMEK): pode criar e gerir as suas chaves de encriptação através do Cloud Key Management Service. As CMEKs podem ser armazenadas como chaves de software, num cluster de HSM ou externamente.
Chaves de encriptação fornecidas pelo cliente (CSEK): pode criar e gerir as suas próprias chaves de encriptação. Estas chaves funcionam como uma camada de encriptação adicional além da encriptação padrão do Cloud Storage.
Encriptação por parte do cliente: encriptação que ocorre antes de os dados serem enviados para o Cloud Storage. Esses dados chegam ao Cloud Storage já encriptados, mas também são encriptados no lado do servidor.
Comparar opções de encriptação
| Método de encriptação | Gestão de chaves | Exemplo de utilização |
|---|---|---|
| Padrão (predefinição) | Google faz a gestão das chaves de encriptação. | Objetivo geral: a encriptação padrão do Cloud Storage é ideal para a maioria dos utilizadores que precisam de ter os respetivos dados encriptados em repouso sem quererem gerir chaves de encriptação. Satisfaz muitos requisitos de conformidade automaticamente. |
| CMEK | Faz a gestão das chaves através do Cloud Key Management Service. | Conformidade e controlo: use CMEK quando precisar de controlar o ciclo de vida das suas chaves de encriptação para cumprir normas de conformidade específicas (por exemplo, PCI-DSS ou HIPAA). Pode conceder, revogar e alternar chaves de acordo com a sua própria programação. |
| CSEK | Fornece as suas próprias chaves de encriptação com cada pedido ao Cloud Storage. | Gestão de chaves externas: as CSEKs são mais adequadas para cenários em que tem um sistema de gestão de chaves existente fora do Google Cloud e quer usar essas chaves para encriptar os seus dados do Cloud Storage. A chave não é armazenada por Google. |
| Encriptação por parte do cliente | Encripta os dados e gere as chaves totalmente por sua conta antes de os enviar para o Cloud Storage. | Máxima confidencialidade: use a encriptação por parte do cliente quando precisar de garantir que a Google não tem acesso possível aos dados não encriptados. Google Isto oferece o nível mais elevado de controlo, mas também coloca sobre si a total responsabilidade da gestão de chaves e dos processos de encriptação e desencriptação. |