Esta página se ha traducido con Cloud Translation API.

Encriptado en reposo

De forma predeterminada, BigQuery cifra el contenido del cliente en reposo. BigQuery se encarga del cifrado sin que tengas que hacer nada más. Esta opción se llama Cifrado predeterminado de Google. El cifrado predeterminado de Google usa los mismos sistemas reforzados de gestión de claves que utilizamos para proteger nuestros propios datos cifrados. Estos sistemas incluyen controles de acceso a claves y auditorías estrictos. Los datos y los metadatos de cada objeto de BigQuery se cifran mediante el estándar de cifrado avanzado (AES).

Si quieres controlar tus claves de cifrado, puedes usar claves de cifrado gestionadas por el cliente (CMEKs) en Cloud KMS con servicios integrados con CMEKs, como BigQuery. Si usas claves de Cloud KMS, tendrás control sobre su nivel de protección, ubicación, calendario de rotación, permisos de uso y acceso, y límites criptográficos. Cloud KMS también te permite monitorizar el uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google sea el propietario y el gestor de las claves de cifrado de claves (KEKs) simétricas que protegen tus datos, tú controlas y gestionas estas claves en Cloud KMS.

Una vez que haya configurado sus recursos con CMEKs, la experiencia de acceder a sus recursos de BigQuery será similar a la de usar el cifrado predeterminado de Google. Para obtener más información sobre las opciones de cifrado, consulta Claves de Cloud KMS gestionadas por el cliente.

CMEK con Autokey de Cloud KMS

Puedes crear CMEKs manualmente para proteger tus recursos de BigQuery o usar Autokey de Cloud KMS. Con Autokey, los conjuntos de claves y las claves se generan bajo demanda como parte de la creación de recursos en BigQuery. Los agentes de servicio que usan las claves para las operaciones de cifrado y descifrado se crean si aún no existen y se les asignan los roles de gestión de identidades y accesos (IAM) necesarios. Para obtener más información, consulta la descripción general de Autokey.

Para saber cómo usar las CMEKs creadas manualmente para proteger tus recursos de BigQuery, consulta Claves de Cloud KMS gestionadas por el cliente.

Para saber cómo usar las CMEKs creadas por Autokey de Cloud KMS para proteger tus recursos de BigQuery, consulta el artículo Usar Autokey con recursos de BigQuery.

Cifrado de valores individuales en una tabla

Si quieres cifrar valores individuales de una tabla de BigQuery, usa las funciones de cifrado de cifrado autenticado con datos asociados (AEAD). Si quieres conservar los datos de todos tus clientes en una tabla común, usa funciones AEAD para cifrar los datos de cada cliente con una clave diferente. Las funciones de encriptado AEAD se basan en AES. Para obtener más información, consulta Conceptos de encriptado AEAD en GoogleSQL.

Encriptación por parte del cliente

El cifrado del lado del cliente es independiente del cifrado de BigQuery en reposo. Si decides usar el cifrado del lado del cliente, serás responsable de las claves del lado del cliente y de las operaciones criptográficas. Cifrarías los datos antes de escribirlos en BigQuery. En este caso, tus datos se cifran dos veces: primero con tus claves y, después, con las de Google. Del mismo modo, los datos leídos de BigQuery se descifran dos veces: primero con las claves de Google y, después, con tus claves.

Datos en tránsito

Para proteger tus datos mientras se transfieren por Internet durante las operaciones de lectura y escritura, Google Cloud utiliza el protocolo Seguridad en la capa de transporte (TLS). Para obtener más información, consulta Encriptado en tránsito en Google Cloud.

En los centros de datos de Google, tus datos se cifran cuando se transfieren entre máquinas.

Siguientes pasos

Para obtener más información sobre el cifrado en reposo de BigQuery y otros Google Cloud productos, consulta Cifrado en reposo en Google Cloud.