Cloud Firestore, совместимый с MongoDB, автоматически шифрует все данные перед записью на диск. Настройка и изменение способа доступа к сервису не требуются. Данные автоматически и прозрачно расшифровываются при чтении авторизованным пользователем.
Управление ключами
При шифровании на стороне сервера вы можете либо разрешить Google управлять криптографическими ключами от вашего имени, либо использовать управляемые клиентом ключи шифрования (CMEK) для самостоятельного управления ключами.
По умолчанию Google управляет криптографическими ключами от вашего имени, используя те же защищённые системы управления ключами, которые мы используем для наших собственных зашифрованных данных, включая строгий контроль доступа к ключам и аудит. Данные и метаданные каждого объекта Cloud Firestore с совместимостью с MongoDB зашифрованы , а каждый ключ шифрования, в свою очередь, зашифрован регулярно обновляемым набором мастер-ключей.
Информацию об управлении ключами самостоятельно см. в документе CMEK для совместимости с Cloud Firestore и MongoDB .
Шифрование на стороне клиента
Шифрование на стороне сервера можно использовать в сочетании с шифрованием на стороне клиента. При шифровании на стороне клиента вы управляете собственными ключами шифрования и шифруете данные перед их записью в Cloud Firestore с поддержкой MongoDB. В этом случае ваши данные шифруются дважды: один раз вашими ключами, а второй раз — ключами на стороне сервера.
Для защиты ваших данных при их передаче через Интернет во время операций чтения и записи мы используем протокол Transport Layer Security (TLS). Подробнее о поддерживаемых версиях TLS см. в статье «Шифрование при передаче в Google Cloud .
Что дальше?
Дополнительную информацию о шифровании данных в состоянии покоя для Cloud Firestore с совместимостью с MongoDB и другими продуктами Google Cloud см. в разделе Шифрование данных в состоянии покоя в Google Cloud .