Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud by S3NS. Para obtener más información, consulta las diferencias con Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Encriptado en reposo

De forma predeterminada, BigQuery cifra el contenido del cliente en reposo. BigQuery se encarga del cifrado sin que tengas que hacer nada más. Esta opción se llama Cifrado predeterminado de Google. El cifrado predeterminado de Google usa los mismos sistemas reforzados de gestión de claves que utilizamos para proteger nuestros propios datos cifrados. Estos sistemas incluyen controles de acceso a claves y auditorías estrictos. Los datos y los metadatos de cada objeto de BigQuery se cifran mediante el estándar de cifrado avanzado (AES).

Si quieres controlar tus claves de cifrado, puedes usar claves de cifrado gestionadas por el cliente (CMEKs) en Cloud KMS con servicios integrados con CMEKs, como BigQuery. Si usas claves de Cloud KMS, tendrás control sobre su nivel de protección, ubicación, calendario de rotación, permisos de uso y acceso, y límites criptográficos. Cloud KMS también te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google sea el propietario y el gestor de las claves de cifrado de claves (KEKs) simétricas que protegen tus datos, tú controlas y gestionas estas claves en Cloud KMS.

Una vez que haya configurado sus recursos con CMEKs, la experiencia de acceder a sus recursos de BigQuery será similar a la de usar el cifrado predeterminado de Google. Para obtener más información sobre las opciones de cifrado, consulta Claves de Cloud KMS gestionadas por el cliente.

Cifrado de valores individuales en una tabla

Si quieres cifrar valores individuales de una tabla de BigQuery, usa las funciones de cifrado de cifrado autenticado con datos asociados (AEAD). Si quieres conservar los datos de todos tus clientes en una tabla común, usa funciones AEAD para cifrar los datos de cada cliente con una clave diferente. Las funciones de encriptado AEAD se basan en AES. Para obtener más información, consulta Conceptos de encriptado AEAD en GoogleSQL.

Encriptación por parte del cliente

El cifrado del lado del cliente es independiente del cifrado de BigQuery en reposo. Si decides usar el cifrado del lado del cliente, serás responsable de las claves del lado del cliente y de las operaciones criptográficas. Cifrarías los datos antes de escribirlos en BigQuery. En este caso, tus datos se cifran dos veces: primero con tus claves y, después, con las de Google. Del mismo modo, los datos leídos de BigQuery se descifran dos veces: primero con las claves de Google y, después, con tus claves.

Datos en tránsito

Para proteger tus datos mientras se transfieren por Internet durante las operaciones de lectura y escritura, Trusted Cloud utiliza el protocolo Seguridad en la capa de transporte (TLS). Para obtener más información, consulta Encriptado en tránsito en Trusted Cloud.

En los centros de datos de Google, tus datos se cifran cuando se transfieren entre máquinas.

Siguientes pasos

Para obtener más información sobre el cifrado en reposo de BigQuery y otros Trusted Cloud productos, consulta Cifrado en reposo en Trusted Cloud.