O Firestore no modo Datastore encripta automaticamente todos os dados antes de serem escritos no disco. Não é necessária nenhuma configuração e não tem de modificar a forma como acede ao serviço. Os dados são descifrados de forma automática e transparente quando são lidos por um utilizador autorizado.
Gestão de chaves
Com a encriptação do lado do servidor, pode permitir que a Google faça a gestão das chaves criptográficas em seu nome ou usar chaves de encriptação geridas pelo cliente (CMEK) para gerir as chaves.
Por predefinição, a Google gere as chaves criptográficas em seu nome através dos mesmos sistemas de gestão de chaves reforçados que usamos para os nossos próprios dados encriptados, incluindo controlos de acesso a chaves e auditoria rigorosos. Os dados e os metadados de cada objeto do modo Datastore são encriptados, e cada chave de encriptação é, por sua vez, encriptada com um conjunto de chaves principais do keystore que são rodadas regularmente.
Para obter informações sobre como gerir as chaves, consulte o artigo CMEK para o Armazenamento de Dados.
Encriptação do lado do cliente
A encriptação por parte do servidor pode ser usada em combinação com a encriptação por parte do cliente. Na encriptação por parte do cliente, gere as suas próprias chaves de encriptação e encripta os dados antes de os escrever na base de dados. Neste caso, os seus dados são encriptados duas vezes: uma com as suas chaves e outra com as chaves do lado do servidor.
Para proteger os seus dados à medida que viajam pela Internet durante as operações de leitura e escrita, utilizamos o protocolo Transport Layer Security (TLS). Para mais informações sobre as versões do TLS suportadas, consulte o artigo Encriptação em trânsito no Google Cloud.
O que se segue?
Para mais informações sobre a encriptação em repouso para o Firestore no modo Datastore e outros Google Cloud produtos, consulte Encriptação em repouso no Google Cloud.