Cloud Storage cripta sempre i dati sul lato server prima che siano scritti su disco, senza costi aggiuntivi. Oltre a questo comportamento standard di Cloud Storage, esistono altri modi per criptare i dati quando si utilizza Cloud Storage. Di seguito è riportato un riepilogo delle opzioni di crittografia a tua disposizione:
Crittografia lato server: crittografia che avviene dopo la ricezione dei dati da parte di Cloud Storage, ma prima che questi siano scritti sul disco e archiviati.
_Chiavi di crittografia gestite dal cliente_ (CMEK): puoi creare e gestire le chiavi di crittografia tramite Cloud Key Management Service. Le chiavi CMEK possono essere archiviate come chiavi software, in un cluster HSM o esternamente.
_Chiavi di crittografia fornite dal cliente_ (CSEK): puoi creare e gestire le tue chiavi di crittografia. Queste chiavi fungono da livello di crittografia aggiuntivo oltre alla crittografia standard di Cloud Storage.
_Crittografia lato client_: crittografia che avviene prima che i dati vengano inviati a Cloud Storage. Questi dati arrivano a Cloud Storage già criptati, ma vengono sottoposti anche alla crittografia lato server.
Confronto tra le opzioni di crittografia
| Metodo di crittografia | Gestione delle chiavi | Caso d'uso |
|---|---|---|
| Standard (valore predefinito) | Google gestisce le chiavi di crittografia. | Scopo generale: la crittografia standard di Cloud Storage è ideale per la maggior parte degli utenti che hanno bisogno che i dati siano criptati at-rest senza voler gestire le chiavi di crittografia. Soddisfa automaticamente molti requisiti di conformità. |
| CMEK | Gestisci le chiavi utilizzando Cloud Key Management Service. | Conformità e controllo: utilizza CMEK quando devi controllare il ciclo di vita delle chiavi di crittografia per soddisfare standard di conformità specifici (ad esempio PCI-DSS o HIPAA). Puoi concedere, revocare e ruotare le chiavi in base alla tua pianificazione. |
| CSEK | Fornisci le tue chiavi di crittografia con ogni richiesta a Cloud Storage. | Gestione delle chiavi esterne: CSEK è ideale per gli scenari in cui hai un sistema di gestione delle chiavi esistente al di fuori di Google Cloud e vuoi utilizzare queste chiavi per criptare i dati di Cloud Storage. La chiave non viene memorizzata da Google. |
| Crittografia lato client | Cripti i dati e gestisci le chiavi interamente da solo prima di inviarli a Cloud Storage. | Massima riservatezza: utilizza la crittografia lato client quando devi assicurarti che Google non abbia accesso ai dati non criptati. Questo offre il massimo livello di controllo, ma ti affida anche l'intero onere della gestione delle chiavi e dei processi di crittografia e decrittografia. |
Passaggi successivi
- Configura i metodi di crittografia consentiti o limitati per i nuovi oggetti nei bucket.