security - 安全 - 為什麼Google推薦在雲存儲中使用CloudKMS應用層加密?

149 3

使用 Cloud Storage bucket 中內置的默認加密,GCP使用一種或多種加密機制對靜止存儲的客戶內容進行加密。顧名思義,此加密默認情況下可用,不需要你執行其他操作。

我是門外漢,為什麼推薦使用應用程序層加密? 如果存儲對象的GCS存儲受IAM保護,而GCS已經加密該數據,則會獲得什麼好處?

时间: 原作者:

102 3

它是關於誰控制密鑰,何時加密數據,哪裡加密數據以及誰加密數據的問題。

僅使用GCS,你的數據在靜止時用Google存儲和管理的密鑰加密,你不能在這裡撤銷谷歌的密鑰,此外,假如數據僅使用TLS來保護靜態數據和傳輸數據(但是,能夠終止TLS的人或應用程序可以用純文本形式看到數據)。

使用GCS (常叫"客戶托管密鑰"CMEK ),在將數據寫入到之前對數據進行加密,GCS只存儲加密數據(用谷歌管理的密鑰再次加密),用戶可以完全控制這些加密和撤銷,你還可以在雲HSM中使用HSM-backed鍵,此外在最佳實踐中,數據還在傳輸時受到保護,即使有人終止TLS,密碼仍然保持加密,直到具有rtc許可權解密為止。

原作者:
...