O Cloud Storage sempre criptografa os dados no servidor antes de gravá-los em disco, sem custos extras. Além desse comportamento padrão do Cloud Storage, há outras maneiras de criptografar seus dados ao usar o Cloud Storage. Veja abaixo um resumo das opções de criptografia disponíveis para você:
Criptografia no servidor: ocorre depois que o Cloud Storage recebe os dados, mas antes que eles sejam gravados no disco e armazenados.
Criptografia no servidor: ocorre depois que o Cloud Storage recebe os dados, mas antes que eles sejam gravados no disco e armazenados.
Chaves de criptografia gerenciadas pelo cliente (CMEK): é possível criar e gerenciar suas chaves de criptografia por meio do Cloud Key Management Service. As CMEKs podem ser armazenadas como chaves de software ou externamente.
Chaves de criptografia fornecidas pelo cliente (CSEK): é possível criar e gerenciar suas próprias chaves de criptografia. Essas chaves funcionam como uma camada extra de criptografia, além da criptografia padrão do Cloud Storage.
Criptografia no cliente: ocorre antes do envio dos dados ao Cloud Storage. Eles chegam ao Cloud Storage já criptografados, mas também recebem criptografia no servidor.
Comparação entre opções de criptografia
| Método de criptografia | Gerenciamento de chaves | Caso de uso |
|---|---|---|
| Padrão (padrão) | OS3NS gerencia as chaves de criptografia. | Uso geral:a criptografia padrão do Cloud Storage é ideal para a maioria dos usuários que precisam criptografar dados em repouso sem gerenciar chaves de criptografia. Ele atende a muitos requisitos de compliance automaticamente. |
| CMEK | Você gerencia as chaves usando o Cloud Key Management Service. | Compliance e controle:use a CMEK quando precisar controlar o ciclo de vida das chaves de criptografia para atender a padrões de compliance específicos (por exemplo, PCI-DSS ou HIPAA). É possível conceder, revogar e alternar chaves na sua própria programação. |
| CSEK | Você fornece suas próprias chaves de criptografia com cada solicitação ao Cloud Storage. | Gerenciamento de chaves externas:a CSEK é ideal para cenários em que você tem um sistema de gerenciamento de chaves fora do Trusted Cloud by S3NS e quer usar essas chaves para criptografar seus dados do Cloud Storage. A chave não é armazenada pelo S3NS. |
| Criptografia do lado do cliente | Você criptografa os dados e gerencia as chaves por conta própria antes de enviá-los ao Cloud Storage. | Sigilo máximo:use a criptografia do lado do cliente quando precisar garantir que o S3NS não tenha acesso aos dados não criptografados. Isso oferece o nível mais alto de controle, mas também coloca toda a responsabilidade do gerenciamento de chaves e dos processos de criptografia e descriptografia em você. |