security - 安全 - 为什么Google推荐在云存储中使用CloudKMS应用层加密?

149 3

使用 Cloud Storage bucket 中内置的默认加密,GCP使用一种或多种加密机制对静止存储的客户内容进行加密。顾名思义,此加密默认情况下可用,不需要你执行其他操作。

我是门外汉,为什么推荐使用应用程序层加密? 如果存储对象的GCS存储受IAM保护,而GCS已经加密该数据,则会获得什么好处?

时间: 原作者:

102 3

它是关于谁控制密钥,何时加密数据,哪里加密数据以及谁加密数据的问题。

仅使用GCS,你的数据在静止时用Google存储和管理的密钥加密,你不能在这里撤销谷歌的密钥,此外,假如数据仅使用TLS来保护静态数据和传输数据(但是,能够终止TLS的人或应用程序可以用纯文本形式看到数据)。

使用GCS (常叫"客户托管密钥"CMEK ),在将数据写入到之前对数据进行加密,GCS只存储加密数据(用谷歌管理的密钥再次加密),用户可以完全控制这些加密和撤销,你还可以在云HSM中使用HSM-backed键,此外在最佳实践中,数据还在传输时受到保护,即使有人终止TLS,密码仍然保持加密,直到具有rtc权限解密为止。

原作者:
...