Chiffrement au repos

Par défaut, BigQuery chiffre le contenu client au repos, BigQuery gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google. Le chiffrement par défaut de Google utilise les mêmes systèmes de gestion de clés renforcés que nous utilisons pour nos propres données chiffrées. Ces systèmes comprennent des audits et des contrôles stricts d'accès aux clés. Les données et métadonnées de chaque objet BigQuery sont chiffrées selon la norme AES (Advanced Encryption Standard).

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris BigQuery. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également de suivre l'utilisation des clés, d'afficher les journaux d'audit et de contrôler le cycle de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des clés CMEK, l'accès à vos ressources BigQuery est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés Cloud KMS gérées par le client.

CMEK avec Cloud KMS Autokey

Pour protéger vos ressources BigQuery, vous pouvez créer des clés CMEK manuellement ou utiliser Cloud KMS Autokey. Avec Autokey, les trousseaux de clés et les clés sont générés à la demande lors de la création de ressources dans BigQuery. Les agents de service qui utilisent les clés pour les opérations de chiffrement et de déchiffrement sont créés s'ils n'existent pas déjà et s'ils disposent des rôles IAM (Identity and Access Management) requis. Pour en savoir plus, consultez la section Présentation de la clé automatique.

Pour savoir comment utiliser des clés CMEK créées manuellement afin de protéger vos ressources BigQuery, consultez Clés Cloud KMS gérées par le client.

Pour savoir comment utiliser les clés CMEK créées par Cloud KMS Autokey afin de protéger vos ressources BigQuery, consultez Utiliser Autokey avec des ressources BigQuery.

Chiffrement de valeurs individuelles dans une table

Si vous souhaitez chiffrer des valeurs individuelles dans une table BigQuery, utilisez les fonctions de chiffrement AEAD (Authenticated Encryption with Associated Data). Si vous souhaitez conserver les données de tous vos clients dans une même table, utilisez les fonctions AEAD pour chiffrer les données de chaque client à l'aide d'une clé différente. Les fonctions de chiffrement AEAD sont basées sur AES. Pour plus d'informations, consultez la page Concepts du chiffrement AEAD en GoogleSQL.

Chiffrement côté client

Le chiffrement côté client est distinct du chiffrement BigQuery au repos. Si vous optez pour le chiffrement côté client, vous êtes responsable des clés et des opérations de chiffrement côté client. Vous devez chiffrer les données avant de les écrire dans BigQuery. Dans ce cas, vos données sont chiffrées deux fois, d'abord avec vos clés, puis avec les clés de Google. De même, les données lues dans BigQuery sont déchiffrées deux fois, d'abord avec les clés de Google, puis avec vos clés.

Données en transit

Pour protéger vos données lors des transferts via Internet au cours des opérations de lecture et d'écriture, Google Cloud utilise le protocole TLS (Transport Layer Security). Pour en savoir plus, consultez la page Chiffrement en transit dans Google Cloud.

Dans les centres de données Google, vos données sont chiffrées lors de leur transfert entre ordinateurs.

Étape suivante

Pour en savoir plus sur le chiffrement au repos pour BigQuery et d'autres produits Google Cloud, consultez la page Chiffrement au repos dans Google Cloud.