Cloud Storage は、データをディスクに書き込む前に常にサーバー側で暗号化します。暗号化に追加料金はかかりません。この標準の Cloud Storage の動作の他に、Cloud Storage の使用時にデータを暗号化することもできます。次のような暗号化オプションがあります。
サーバーサイドの暗号化: Cloud Storage がデータを受信した後で行われる暗号化で、データは暗号化された後でディスクに書き込まれて保存されます。
顧客管理の暗号鍵(CMEK): 暗号鍵は Cloud Key Management Service を使用して作成し、管理できます。CMEK は、HSM クラスタ内または外部にソフトウェア鍵として保存できます。
顧客指定の暗号鍵(CSEK): 独自の暗号鍵を作成し、管理できます。これらの鍵は、標準の Cloud Storage 暗号化を強化する追加暗号化として機能します。
クライアントサイドの暗号化: データが Cloud Storage に送信される前に暗号化が行われます。このようなデータは、暗号化された状態で Cloud Storage に送信されますが、サーバーサイドでも暗号化が行われます。
暗号化オプションの比較
| 暗号化方式 | 鍵管理 | ユースケース |
|---|---|---|
| 標準(デフォルト) | Google は暗号鍵を管理します。 | 汎用: Cloud Storage の標準暗号化は、暗号鍵を管理せずに保存データを暗号化する必要があるほとんどのユーザーに適しています。多くのコンプライアンス要件を自動的に満たします。 |
| CMEK | 鍵は Cloud Key Management Service を使用して管理します。 | コンプライアンスと制御: 特定のコンプライアンス標準(PCI-DSS や HIPAA など)を満たすために暗号鍵のライフサイクルを制御する必要がある場合は、CMEK を使用します。独自のスケジュールで鍵の付与、取り消し、ローテーションを行うことができます。 |
| CSEK | Cloud Storage へのリクエストごとに、独自の暗号鍵を指定します。 | 外部鍵管理: CSEK は、 Google Cloud の外部に既存の鍵管理システムがあり、それらの鍵を使用して Cloud Storage データを暗号化する必要がある場合に最適です。鍵は Googleに保存されません。 |
| クライアントサイド暗号化 | データを暗号化して、鍵を管理するためのすべての過程を経てから Cloud Storage にデータを送信します。 | 最大限の機密性: Google が暗号化されていないデータにアクセスできないようにする必要がある場合は、クライアントサイド暗号化を使用します。これにより、最高レベルの制御が可能になりますが、鍵の管理と暗号化 / 復号プロセスに関するすべての負担をお客様が負うことになります。 |