Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud by S3NS.

Questa pagina è stata tradotta dall'API Cloud Translation.

Crittografia dei dati inattivi

Per impostazione predefinita, BigQuery cripta i contenuti inattivi dei clienti. BigQuery gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google. La crittografia predefinita di Google utilizza gli stessi sistemi avanzati di gestione delle chiavi che utilizziamo per i nostri dati criptati. Questi sistemi includono controlli di accesso alle chiavi e audit rigorosi. I dati e i metadati di ogni oggetto BigQuery vengono criptati utilizzando Advanced Encryption Standard (AES).

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui BigQuery. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la posizione, la pianificazione della rotazione, l'utilizzo e le autorizzazioni di accesso e i limiti crittografici. L'utilizzo di Cloud KMS ti consente anche di visualizzare i log di controllo e controllare i cicli di vita delle chiavi. Anziché essere di proprietà di Google e gestite da Google, le chiavi di crittografia delle chiavi (KEK) simmetriche che proteggono i tuoi dati sono controllate e gestite da te in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse BigQuery è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi Cloud KMS gestite dal cliente.

Crittografia dei singoli valori in una tabella

Se vuoi criptare i singoli valori all'interno di una tabella BigQuery, utilizza le funzioni di crittografia AEAD (Authenticated Encryption with Associated Data). Se vuoi conservare i dati di tutti i tuoi clienti in una tabella comune, utilizza le funzioni AEAD per criptare i dati di ogni cliente utilizzando una chiave diversa. Le funzioni di crittografia AEAD si basano su AES. Per ulteriori informazioni, consulta Concetti della crittografia AEAD in GoogleSQL.

Crittografia lato client

La crittografia lato client è separata dalla crittografia BigQuery a riposo. Se scegli di utilizzare la crittografia lato client, sei responsabile delle chiavi lato client e delle operazioni crittografiche. Cripta i dati prima di scriverli in BigQuery. In questo caso, i dati vengono criptati due volte, prima con le tue chiavi e poi con quelle di Google. Analogamente, i dati letti da BigQuery vengono decriptati due volte, prima con le chiavi di Google e poi con le tue chiavi.

Dati in transito

Per proteggere i tuoi dati durante il trasferimento su internet durante le operazioni di lettura e scrittura, Trusted Cloud utilizza Transport Layer Security (TLS). Per ulteriori informazioni, consulta Crittografia in transito in Trusted Cloud.

All'interno dei data center di Google, i tuoi dati vengono criptati quando vengono trasferiti tra le macchine.

Passaggi successivi

Per saperne di più sulla crittografia at-rest per BigQuery e altri prodotti Trusted Cloud , consulta Crittografia at-rest in Trusted Cloud.