Cloud Storage siempre encripta los datos en el lado del servidor sin cargos adicionales antes de que se escriban en el disco. Además de este comportamiento estándar de Cloud Storage, hay formas adicionales de encriptar los datos cuando usas Cloud Storage. A continuación, se muestra un resumen de las opciones de encriptación disponibles para ti:
Encriptación del lado del servidor: Encriptación que se produce después de que Cloud Storage recibe tus datos, pero antes de que los datos se escriban en el disco y se almacenen.
Encriptación del lado del servidor: Encriptación que se produce después de que Cloud Storage recibe tus datos, pero antes de que los datos se escriban en el disco y se almacenen.
Claves de encriptación administradas por el cliente (CMEK): Puedes crear y administrar tus claves de encriptación a través de Cloud Key Management Service. Las CMEK se pueden almacenar como claves de software o de forma externa.
Claves de encriptación proporcionadas por el cliente (CSEK): Puedes crear y administrar tus propias claves de encriptación. Estas claves actúan como una capa de encriptación adicional además de la encriptación estándar de Cloud Storage.
Encriptación del cliente: Encriptación que se produce antes de que los datos se envíen a Cloud Storage. Estos datos llegan a Cloud Storage ya encriptados, pero también se someten a encriptación del lado del servidor.
Comparación de las opciones de encriptación
| Método de encriptación | Administración de claves | Caso de uso |
|---|---|---|
| Estándar (predeterminado) | S3NS administra las claves de encriptación. | Uso general: La encriptación estándar de Cloud Storage es ideal para la mayoría de los usuarios que necesitan que sus datos se encripten en reposo sin tener que administrar claves de encriptación. Satisface muchos requisitos de cumplimiento automáticamente. |
| CMEK | Administras las claves con Cloud Key Management Service. | Cumplimiento y control: Usa CMEK cuando necesites controlar el ciclo de vida de tus claves de encriptación para cumplir con estándares de cumplimiento específicos (por ejemplo, PCI-DSS o HIPAA). Puedes otorgar, revocar y rotar claves según tu propio programa. |
| CSEK | Proporcionas tus propias claves de encriptación con cada solicitud a Cloud Storage. | Administración de claves externas: La CSEK es ideal para situaciones en las que tienes un sistema de administración de claves existente fuera de Trusted Cloud by S3NS y deseas usar esas claves para encriptar tus datos de Cloud Storage. S3NSno almacena la clave. |
| Encriptación del cliente | Encriptas los datos y administras las claves por tu cuenta antes de enviarlos a Cloud Storage. | Máxima confidencialidad: Usa la encriptación del cliente cuando necesites asegurarte de que S3NS no tenga acceso posible a los datos sin encriptar. Esto proporciona el nivel más alto de control, pero también te impone la carga completa de la administración de claves y los procesos de encriptación y desencriptación. |