הצפנה במנוחה

כברירת מחדל, BigQuery מצפין תוכן של לקוחות במצב מנוחה. מערכת BigQuery מטפלת בהצפנה בשבילכם בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google. ההצפנה שמוגדרת כברירת מחדל ב-Google משתמשת באותן מערכות מוקשחות לניהול מפתחות שבהן אנחנו משתמשים לנתונים המוצפנים שלנו. המערכות האלה כוללות ביקורת ובקרות גישה מחמירות למפתחות. הנתונים והמטא-נתונים של כל אובייקט ב-BigQuery מוצפנים באמצעות תקן ההצפנה המתקדם (AES).

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל BigQuery. שימוש במפתחות של Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. שימוש ב-Cloud KMS מאפשר לכם גם לעקוב אחרי השימוש במפתחות, לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות להצפנת מפתחות (KEK) סימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים עם מפתחות CMEK, חוויית הגישה למשאבי BigQuery דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות Cloud KMS בניהול הלקוח.

CMEK עם Cloud KMS Autokey

אתם יכולים ליצור מפתחות CMEK באופן ידני כדי להגן על המשאבים שלכם ב-BigQuery, או להשתמש ב-Cloud KMS Autokey. עם Autokey, מחזיקי מפתחות ומפתחות נוצרים לפי דרישה כדי לתמוך ביצירת משאבים ב-BigQuery. אם סוכני השירות שמשתמשים במפתחות לפעולות הצפנה ופענוח לא קיימים, הם נוצרים ומקבלים את התפקידים הנדרשים של ניהול זהויות והרשאות גישה (IAM). מידע נוסף מופיע במאמר סקירה כללית על Autokey.

כדי ללמוד איך להשתמש במפתחות CMEK שנוצרו באופן ידני כדי להגן על המשאבים שלכם ב-BigQuery, ראו מפתחות Cloud KMS בניהול הלקוח.

במאמר הזה מוסבר איך להשתמש במפתחות CMEK שנוצרו על ידי Cloud KMS Autokey כדי להגן על משאבי BigQuery.

הצפנה של ערכים בודדים בטבלה

אם רוצים להצפין ערכים ספציפיים בטבלה ב-BigQuery, צריך להשתמש בפונקציות ההצפנה של הצפנה מאומתת עם נתונים משויכים (AEAD). אם רוצים לשמור את הנתונים של כל הלקוחות בטבלה משותפת, צריך להשתמש בפונקציות AEAD כדי להצפין את הנתונים של כל לקוח באמצעות מפתח שונה. פונקציות ההצפנה של AEAD מבוססות על AES. מידע נוסף זמין במאמר מושגים של הצפנת AEAD ב-GoogleSQL.

הצפנה מצד הלקוח

הצפנה מצד הלקוח היא נפרדת מהצפנה של BigQuery במצב מנוחה. אם תבחרו להשתמש בהצפנה מצד הלקוח, אתם תהיו אחראים למפתחות בצד הלקוח ולפעולות הקריפטוגרפיות. הצפנה של נתונים מתבצעת לפני הכתיבה שלהם ל-BigQuery. במקרה כזה, הנתונים מוצפנים פעמיים, קודם באמצעות המפתחות שלכם ואחר כך באמצעות המפתחות של Google. באופן דומה, נתונים שנקראים מ-BigQuery מפוענחים פעמיים, קודם באמצעות המפתחות של Google ואחר כך באמצעות המפתחות שלכם.

נתונים במעבר

כדי להגן על הנתונים בזמן שהם עוברים באינטרנט במהלך פעולות קריאה וכתיבה, Google Cloud משתמשים ב-Transport Layer Security (אבטחת שכבת התעבורה, TLS). מידע נוסף זמין במאמר הצפנה במעבר ב- Google Cloud.

בתוך מרכזי הנתונים של Google, הנתונים מוצפנים כשהם מועברים בין מכונות.

המאמרים הבאים

במאמר הצפנה במנוחה ב- Google Cloud תוכלו לקרוא מידע נוסף על הצפנה במנוחה ב-BigQuery ובמוצרים אחרים של Google Cloud .