ב-Cloud Storage הנתונים תמיד מוצפנים בצד השרת, לפני שהם נכתבים לדיסק, ללא חיוב נוסף. חוץ מההצפנה הסטנדרטית הזאת של Cloud Storage, יש עוד דרכים להצפין את הנתונים כשמשתמשים ב-Cloud Storage. הנה סיכום של אפשרויות ההצפנה הזמינות:
הצפנה בצד השרת: הצפנה שמתרחשת אחרי קבלת הנתונים ב-Cloud Storage, אבל לפני שהם נכתבים לדיסק ונשמרים.
מפתחות הצפנה בניהול הלקוח (CMEK): אפשר ליצור מפתחות הצפנה ולנהל אותם באמצעות Cloud Key Management Service. אפשר לאחסן את מפתחות ה-CMEK כמפתחות תוכנה, באשכול HSM או באופן חיצוני.
מפתחות הצפנה באספקת הלקוח (CSEK): אפשר ליצור מפתחות הצפנה משלכם ולנהל אותם. המפתחות האלו משמשים כשכבת הצפנה נוספת, בנוסף להצפנה הרגילה של Cloud Storage.
הצפנה בצד הלקוח: הצפנה שמתרחשת לפני שהנתונים נשלחים ל-Cloud Storage. הנתונים האלו מגיעים ל-Cloud Storage כשהם כבר מוצפנים, אבל גם עוברים הצפנה בצד השרת.
השוואה בין אפשרויות ההצפנה
| שיטת ההצפנה | ניהול מפתחות | תרחיש לדוגמה |
|---|---|---|
| רגיל (ברירת מחדל) | Google מנהל את מפתחות ההצפנה. | לשימוש כללי: ההצפנה הרגילה של Cloud Storage מתאימה לרוב המשתמשים שרוצים להצפין את הנתונים שלהם במצב מנוחה בלי לנהל מפתחות הצפנה. היא עומדת בהרבה דרישות תאימות באופן אוטומטי. |
| CMEK | אתם מנהלים את המפתחות באמצעות Cloud Key Management Service. | תאימות ושליטה: כדאי להשתמש ב-CMEK כשצריך לשלוט במחזור החיים של מפתחות ההצפנה כדי לעמוד בתקני תאימות ספציפיים (לדוגמה, PCI-DSS או HIPAA). אתם יכולים להעניק מפתחות, לבטל אותם ולבצע רוטציה שלהם לפי לוח הזמנים שלכם. |
| CSEK | אתם מספקים מפתחות הצפנה משלכם עם כל בקשה ל-Cloud Storage. | ניהול מפתחות חיצוני: מפתחות CSEK מתאימים במיוחד לתרחישים שבהם יש לכם מערכת קיימת לניהול מפתחות מחוץ ל- Google Cloud ואתם רוצים להשתמש במפתחות האלה כדי להצפין את הנתונים שלכם ב-Cloud Storage. המפתח לא מאוחסן על ידי Google. |
| הצפנה מצד הלקוח | אתם מצפינים את הנתונים ומנהלים את המפתחות בעצמכם לגמרי לפני שאתם שולחים אותם ל-Cloud Storage. | סודיות מקסימלית: השתמשו בהצפנה מצד הלקוח כשאתם רוצים לוודא של- Google אין אפשרות גישה לנתונים לא מוצפנים. האפשרות הזו מספקת את רמת השליטה הגבוהה ביותר, אבל גם מטילה עליכם את האחריות המלאה לניהול המפתחות ולתהליכי ההצפנה והפענוח. |