Cloud Storage selalu mengenkripsi data Anda di sisi server, sebelum ditulis ke disk, tanpa biaya tambahan. Selain perilaku standar Cloud Storage ini, ada cara lain untuk mengenkripsi data Anda saat menggunakan Cloud Storage. Di bawah ini adalah ringkasan opsi enkripsi yang tersedia untuk Anda:
Enkripsi sisi server: Enkripsi yang terjadi setelah Cloud Storage menerima data Anda, tetapi sebelum data ditulis ke disk dan disimpan.
Enkripsi sisi server: Enkripsi yang terjadi setelah Cloud Storage menerima data Anda, tetapi sebelum data ditulis ke disk dan disimpan.
Kunci enkripsi yang dikelola pelanggan (CMEK): Anda dapat membuat dan mengelola kunci enkripsi melalui Cloud Key Management Service. CMEK dapat disimpan sebagai kunci software atau secara eksternal.
Kunci enkripsi yang disediakan pelanggan (CSEK): Anda dapat membuat dan mengelola kunci enkripsi Anda sendiri. Kunci ini berfungsi sebagai lapisan enkripsi tambahan selain enkripsi Cloud Storage standar.
Enkripsi sisi klien: Enkripsi yang terjadi sebelum data dikirim ke Cloud Storage. Data tersebut tiba di Cloud Storage yang telah dienkripsi tetapi juga mengalami enkripsi sisi server.
Membandingkan opsi enkripsi
| Metode enkripsi | Pengelolaan kunci | Kasus penggunaan |
|---|---|---|
| Standard (Default) | S3NS mengelola kunci enkripsi. | Tujuan umum: Enkripsi standar Cloud Storage ideal untuk sebagian besar pengguna yang ingin data mereka dienkripsi dalam penyimpanan tanpa perlu mengelola kunci enkripsi. Layanan ini secara otomatis memenuhi banyak persyaratan kepatuhan. |
| CMEK | Anda mengelola kunci menggunakan Cloud Key Management Service. | Kepatuhan dan kontrol: Gunakan CMEK jika Anda perlu mengontrol siklus proses kunci enkripsi untuk memenuhi standar kepatuhan tertentu (misalnya, PCI-DSS atau HIPAA). Anda dapat memberikan, mencabut, dan merotasi kunci sesuai jadwal Anda sendiri. |
| CSEK | Anda memberikan kunci enkripsi Anda sendiri dengan setiap permintaan ke Cloud Storage. | Pengelolaan kunci eksternal: CSEK paling cocok untuk skenario saat Anda memiliki sistem pengelolaan kunci di luar Trusted Cloud by S3NS dan ingin menggunakan kunci tersebut untuk mengenkripsi data Cloud Storage Anda. Kunci tidak disimpan oleh S3NS. |
| Enkripsi sisi klien | Anda mengenkripsi data dan mengelola kunci sepenuhnya sendiri sebelum mengirimkannya ke Cloud Storage. | Kerahasiaan maksimum: Gunakan enkripsi sisi klien jika Anda perlu memastikan bahwa S3NS tidak dapat mengakses data yang tidak dienkripsi. Opsi ini memberikan tingkat kontrol tertinggi, tetapi juga menempatkan beban penuh pengelolaan kunci serta proses enkripsi dan dekripsi pada Anda. |