Encriptação em repouso

Por predefinição, o BigQuery encripta o conteúdo do cliente em repouso. O BigQuery processa a encriptação por si sem ações adicionais da sua parte. Esta opção chama-se Encriptação predefinida da Google. A encriptação predefinida da Google usa os mesmos sistemas de gestão de chaves reforçados que usamos para os nossos dados encriptados. Estes sistemas incluem controlos de acesso a chaves e auditorias rigorosos. Os dados e os metadados de cada objeto do BigQuery são encriptados através da norma Advanced Encryption Standard (AES).

Se quiser controlar as suas chaves de encriptação, pode usar chaves de encriptação geridas pelo cliente (CMEK) no Cloud KMS com serviços integrados com CMEK, incluindo o BigQuery. A utilização de chaves do Cloud KMS dá-lhe controlo sobre o respetivo nível de proteção, localização, programação de rotação, utilização, autorizações de acesso e limites criptográficos. A utilização do Cloud KMS também permite ver registos de auditoria e controlar os ciclos de vida das chaves. Em vez de a Google possuir e gerir as chaves de encriptação de chaves (KEKs) simétricas que protegem os seus dados, controla e gere estas chaves no Cloud KMS.

Depois de configurar os seus recursos com CMEKs, a experiência de acesso aos seus recursos do BigQuery é semelhante à utilização da encriptação predefinida da Google. Para mais informações acerca das suas opções de encriptação, consulte Chaves do Cloud KMS geridas pelo cliente.

Encriptação de valores individuais numa tabela

Se quiser encriptar valores individuais numa tabela do BigQuery, use as funções de encriptaçãode encriptação autenticada com dados associados (AEAD). Se quiser manter os dados de todos os seus clientes numa tabela comum, use funções AEAD para encriptar os dados de cada cliente com uma chave diferente. As funções de encriptação AEAD baseiam-se no AES. Para mais informações, consulte o artigo Conceitos de encriptação AEAD no GoogleSQL.

Encriptação do lado do cliente

A encriptação por parte do cliente é independente da encriptação em repouso do BigQuery. Se optar por usar a encriptação por parte do cliente, é responsável pelas chaves por parte do cliente e pelas operações criptográficas. Encripta os dados antes de os escrever no BigQuery. Neste caso, os seus dados são encriptados duas vezes, primeiro com as suas chaves e, depois, com as chaves da Google. Da mesma forma, os dados lidos do BigQuery são desencriptados duas vezes, primeiro com as chaves da Google e, em seguida, com as suas chaves.

Dados em trânsito

Para proteger os seus dados à medida que circulam pela Internet durante as operações de leitura e escrita, Trusted Cloud usa o Transport Layer Security (TLS). Para mais informações, consulte o artigo Encriptação em trânsito no Trusted Cloud.

Nos centros de dados da Google, os seus dados são encriptados quando são transferidos entre máquinas.

O que se segue?

Para mais informações sobre a encriptação em repouso do BigQuery e de outros Trusted Cloud produtos, consulte o artigo Encriptação em repouso no Trusted Cloud.