O Cloud Firestore criptografa automaticamente todos os dados antes que eles sejam gravados no disco. Não é necessário instalação ou configuração. Também não é necessário acessar o serviço de outra maneira. Os dados são descriptografados de maneira automática e transparente quando um usuário autorizado os lê.
Gerenciamento de chaves
Com a criptografia do lado do servidor, você pode deixar o Google gerenciar as chaves criptográficas em seu nome ou usar chaves de criptografia gerenciadas pelo cliente (CMEK) para gerenciar as chaves por conta própria.
Por padrão, o Google gerencia as chaves criptográficas por você usando os mesmos sistemas de gerenciamento de chaves com aumento da proteção que usamos nos nossos dados criptografados. Isso inclui auditoria e controles rígidos de acesso por chave. Cada dado e metadado do objeto Cloud Firestore é criptografado, e cada chave de criptografia também é criptografada com um conjunto de chaves mestras alternadas regularmente.
Para informações sobre como gerenciar chaves por conta própria, consulte CMEK para Cloud Firestore.
Criptografia do lado do cliente
É possível combinar a criptografia no servidor com a criptografia no cliente. Na criptografia do lado do cliente, você gerencia suas próprias chaves de criptografia e criptografa dados antes de gravá-los no Cloud Firestore. Nesse caso, os dados serão criptografados duas vezes: a primeira com as suas chaves e a segunda com as chaves do lado do servidor.
Para proteger seus dados no tráfego pela Internet durante as operações de leitura e gravação, usamos o protocolo Transport Layer Security (TLS). Para mais informações sobre as versões de TLS compatíveis, consulte Criptografia em trânsito em Google Cloud.
A seguir
Para mais informações sobre a criptografia em repouso no Cloud Firestore e outros produtos do Google Cloud, consulte Criptografia em repouso no Google Cloud.