資料加密與保護

什麼是 Google Cloud 的資料加密與保護？

資料加密與保護是 Google Cloud 提供的一系列服務與預設行為，用以確保客戶資料的機密性、防止竄改，並防範未授權存取。對於 Cloud Digital Leader（CDL）考試而言，加密是雲端安全的第二支柱，緊接在身分識別與存取管理（IAM）之後。IAM 決定誰能接觸資料；加密則決定他們就算接觸到了會看到什麼。磁碟遭竊、封包誤送、內部人員窺探、儲存桶設定錯誤——加密是這每一種失敗情境下的安全防線。

CDL 考試不要求您撰寫 Cloud KMS API 呼叫或挑選 AES 區塊大小。考試測驗的是您以業務領導者視角回答問題的能力，例如：「我們需要做任何事情來加密 BigQuery 資料集嗎？」（不需要——這是自動完成的。）「如果合規團隊堅持由我們自己持有金鑰怎麼辦？」（使用客戶管理加密金鑰，即 CMEK。）「如何防止信用卡號碼洩漏至日誌檔案？」（Cloud DLP，近期更名為 Sensitive Data Protection。）「應用程式執行時需要的 API 金鑰存放在哪裡？」（Secret Manager。）「如何防止心懷不軌的內部人員將資料複製到我們的邊界之外？」（VPC Service Controls。）這些正是 CDL 考試期望您能自信作答的判斷情境。

Google Cloud 的加密策略奠基於一項簡單原則：加密應預設開啟，並在業務有需要時提供更高階的控制選項。客戶寫入 Google Cloud 的每一個位元組，都以 Google 管理的金鑰進行靜態加密——您無法關閉這項功能，也不需要進行任何設定。若需要更高的控制程度，可以在上面疊加透過 Cloud KMS 的客戶管理加密金鑰（CMEK）。若需要更進一步的控制，可以透過客戶提供加密金鑰（CSEK）提供您自己的原始金鑰本體。若需要在資料於記憶體中處理時也進行加密，機密運算（Confidential Computing）透過 AMD SEV 和 Intel TDX 硬體功能提供最後一層保護。

靜態加密：預設的基礎

靜態加密是指資料儲存時的加密——存放在磁碟、資料庫、物件儲存、備份中的資料。對於 CDL 考試，關於 Google Cloud 靜態加密最重要的一件事是：它預設對每個服務都啟用，無需任何設定。

Google 管理加密（預設）

當您上傳檔案至 Cloud Storage、在 BigQuery 寫入資料列、為 Compute Engine 磁碟建立快照，或在 Cloud SQL 儲存資料列時，Google Cloud 會自動：

1. 為該資料區塊產生一組資料加密金鑰（Data Encryption Key，DEK）。
2. 使用 AES-256 以 DEK 加密資料。
3. 將 DEK 包裹（加密）在 Google 內部金鑰管理服務中儲存的**金鑰加密金鑰（Key Encryption Key，KEK）**下。
4. 將包裹後的 DEK 與加密資料一同儲存。

這整個過程對您是不可見的。您看不到金鑰，無需為加密額外付費，也無法關閉它。從 CDL 的角度，向業務傳達的訊息是：「我們所有的 Google Cloud 資料都已自動進行靜態加密，無需額外費用。」

客戶管理加密金鑰（CMEK）

客戶管理加密金鑰（Customer-Managed Encryption Keys，CMEK） 讓您從 Cloud Key Management Service（Cloud KMS） 提供金鑰加密金鑰，而非讓 Google 在內部產生。資料加密金鑰仍然負責加密您的資料，但 Google 每次存取資料時必須呼叫您的 Cloud KMS 金鑰來解開 DEK。若您停用或銷毀 CMEK 金鑰，資料實際上就無法讀取——即使是 Google 也無法讀取。

CMEK 是正確答案的情境：

• 合規框架（HIPAA、PCI-DSS、FedRAMP、某些銀行法規）要求客戶控制加密金鑰。
• 安全團隊希望能透過停用金鑰立即撤銷存取，無需聯繫 Google 支援。
• 稽核需要透過 Cloud Audit Logs 記錄每次加密金鑰的使用。

客戶提供加密金鑰（CSEK）

客戶提供加密金鑰（Customer-Supplied Encryption Keys，CSEK） 更進一步：您在每次 API 請求中提供原始金鑰本體，Google 從不儲存它。這是「您持有金鑰」的最極端版本，但也帶來最大的操作風險——若您遺失金鑰，資料將永久無法復原。CSEK 僅支援較少的服務（主要是 Cloud Storage 和 Compute Engine），在高度受管的工作流程之外很少是正確答案。

傳輸中加密：保護網路傳輸的資料

傳輸中加密是指資料在網路傳輸時的加密——從您的筆電到 Google Cloud API 端點之間、兩個不同區域的 Compute Engine 虛擬機器之間、或從地端資料中心透過 Cloud Interconnect 連線到 Google Cloud 的過程。

所有 Google Cloud API 預設使用 TLS

每個 Google Cloud API 端點都要求使用Transport Layer Security（TLS）——通常是 TLS 1.2 或更高版本。當 gcloud CLI、Cloud Console、BigQuery 驅動程式或 Cloud Run 服務發出 API 呼叫時，整個請求與回應都在傳輸途中加密。與靜態加密一樣，這不需要您進行設定——它是預設行為且無法關閉。

在 Google 的網路內部，服務之間的流量也是自動加密的。當資料在兩個 Google Cloud 區域之間移動——例如，在 us-central1 的 Spanner 執行個體與 europe-west4 的執行個體之間進行複製——它會穿越 Google 的私有全球骨幹網路，並在傳輸過程中自動加密，無需任何操作。

Identity-Aware Proxy（IAP）用於應用程式存取

Identity-Aware Proxy（IAP） 位於 HTTPS 應用程式和 Compute Engine 虛擬機器的前端，在請求抵達後端之前對每個請求進行驗證。IAP 強制使用 TLS，並將存取與 IAM 主體綁定，因此應用程式只能被指定的使用者或群組存取——無需 VPN。對於 CDL 考試，當業務希望「去除 VPN」同時仍要求對內部應用程式進行已驗證的加密存取時，IAP 就是答案。

Cloud VPN 與 Cloud Interconnect 用於混合式連線

當您將地端資料中心連接到 Google Cloud 時，有兩種主要的加密混合式網路方案：

• Cloud VPN — 透過公共網際網路建立 IPsec 通道。流量由 IPsec 加密。適合中等頻寬需求與快速部署。
• Cloud Interconnect — 專用實體線路（Dedicated Interconnect）或合作夥伴提供的線路（Partner Interconnect）。流量在 IPsec 層不會自動加密，但您可以疊加 HA VPN over Cloud Interconnect 或使用 MACsec 實現線速加密。

對於 CDL 考試，請記住 Cloud VPN 透過公共網際網路提供加密的混合式連線，而 Cloud Interconnect 提供私有、低延遲的混合式連線，在法規有要求時可額外加密。

白話文解釋

加密是一個數學細節感覺令人生畏的章節，但日常生活中的類比卻出奇地清晰。以下三個類比分別呈現 Google Cloud 加密與資料保護的不同面向。

類比 1 — 銀行金庫的多層保全（Cloud KMS、CMEK 與金鑰階層架構）

想像台灣一家銀行在地下室有一個堅固的黃金金庫。金庫裡的金條就是您的資料。金庫門是 AES-256 加密——沒有金鑰，實體上無法破開。但有一點大多數人沒注意到：銀行不會把金庫鑰匙留在門上。金庫鑰匙被鎖在二樓的一個小型保險箱裡。而那個小型保險箱，由銀行保全主任持有的另一把鑰匙鎖住。

這正是 Google Cloud 加密底層的運作方式。資料加密金鑰（DEK） 就是金庫鑰匙。DEK 被包裹（加密）在 Cloud KMS 中儲存的金鑰加密金鑰（KEK）下——那就是樓上的小型保險箱。使用預設的 Google 管理加密時，Google 持有保全主任的鑰匙。使用客戶管理加密金鑰（CMEK） 時，您在自己的 Cloud KMS KeyRing 中持有那把保全主任的鑰匙。

現在想像銀行也提供高級服務：客戶帶來自己的鑰匙，每次拜訪時遞交，銀行從不保留副本。那就是客戶提供加密金鑰（CSEK）。好處是完全掌控。壞處是如果您回家途中把鑰匙弄丟了，黃金就永遠取不回來——連銀行都沒辦法。大多數客戶不需要這種程度的偏執；CMEK 是合規驅動工作負載的最佳平衡點。

Cloud KMS 的階層架構完美對應真實銀行組織保險箱的方式。KeyRing 是保管箱室——一個在特定區域內的邏輯容器。每個 CryptoKey 是一個保管箱。每個 CryptoKeyVersion 是為那個箱子配製的一把實體鑰匙——當您輪替金鑰時，舊版本仍然存在（以便您仍能解開用它加密的資料），但新的加密操作使用新版本。關鍵是，銀行不允許您在決定丟棄金鑰的同一天就熔化它；有一個最短 24 小時的排程刪除等待期，讓您有機會改變主意。Google Cloud 強制執行相同的安全模式：KMS 金鑰銷毀是排程的，而非即時的，預設等待期為 30 天。

類比 2 — 密封信封與加密郵戳（傳輸中加密、IAP 與 VPN）

現在想像您從台北透過郵政系統寄一封信到東京。您寫好信，放進信封，投入郵筒。在您和收件人之間，信件要經過幾十雙手——當地郵局、機場分揀設施、國際郵件中心、目的地快遞。傳輸中加密就是您把信封密封好、蓋上防拆封蠟章的過程。任何在途中攔截信封的人都無法讀取信件內容，而且收件人一眼就能看出是否有人拆過。

在 Google Cloud 中，每次 API 呼叫都自動包裹在 TLS 中——數位蠟章。當 gcloud CLI 與 BigQuery 通訊、瀏覽器開啟 Cloud Console、一個 Cloud Run 服務呼叫另一個時，整個對話都是端對端密封的。即使您想要，也無法在沒有 TLS 的情況下發出 Google Cloud API 呼叫。

對於更敏感的傳送呢？想像一種外交信差服務：信件不走公共郵政系統，而是裝在加鎖的外交郵袋中，由經過身分確認的信差透過已知的檢查點傳遞。那就是 Cloud VPN——一條 IPsec 通道，透過公共網際網路加密您的地端資料中心與 Google Cloud 之間的流量。若要更嚴格的控制，您可以租用一班完全繞開公共道路的私人裝甲接駁車——那就是 Cloud Interconnect，一條帶有可選 MACsec 加密的專用實體線路。

接著是人的因素：誰被允許收到這封信？ 您可以把信封密封得無懈可擊，但如果收件人原來是個冒名者，加密也救不了您。這正是 Identity-Aware Proxy（IAP） 的作用——它在遞出信件前核對收件人的員工識別證，對照 IAM 主體名單。CDL 的關鍵點是：加密保護傳輸中的信件，但 IAM 和 IAP 控制另一端誰能打開它。搭配掃描內容中敏感資訊類型的 Cloud DLP，三個層次涵蓋了一封數位「信件」的完整生命週期。

類比 3 — 機場三層安全檢查（DLP、Secret Manager、VPC Service Controls）

想像台灣桃園國際機場。從報到到登機，您的行李要通過三道獨立的安全關卡：掃描內容的 X 光機、登機門的身分核驗，以及圍繞跑道的實體邊界，任何東西只能透過清關的飛機離開。這三層幾乎完美對應三個 Google Cloud 資料保護服務。

X 光機是 Cloud DLP，現在正式更名為 Sensitive Data Protection。Cloud DLP 檢查您的資料——Cloud Storage 中的檔案、BigQuery 中的資料表、Pub/Sub 中的串流、傳遞給 API 的純文字——並識別超過 150 種資訊類型（infoType）：信用卡號碼、台灣身分證字號、美國社會安全號碼、電子郵件地址、電話號碼、醫療代碼等。一旦偵測到，Cloud DLP 可以遮蔽、遮罩、代換或保留格式加密敏感元素，讓底層資料得以流入分析和日誌，而不洩漏個人可識別資訊（PII）。

登機門的身分核驗是 Secret Manager，Google Cloud 用於儲存 API 金鑰、密碼、資料庫憑證和 TLS 憑證的託管服務。與其將 Stripe API 金鑰寫死在 Cloud Run 原始碼中（可能外洩到 Git 儲存庫），不如將其儲存在 Secret Manager 並授予服務帳號 roles/secretmanager.secretAccessor。每個秘密版本都進行靜態加密，按照您選擇的排程自動輪替，且每次存取都記錄在 Cloud Audit Logs 中——就像登機門服務員掃描您的登機證並蓋章記錄一樣。

跑道周圍的邊界是 VPC Service Controls。VPC Service Controls 在您的 Google Cloud 服務周圍劃定安全邊界——BigQuery、Cloud Storage、Spanner 等數十個服務——使得即使是具備有效 IAM 權限的已驗證使用者，也無法將資料外洩到邊界之外。邊界內被入侵的服務帳號無法將資料複製到另一個專案中的個人 Cloud Storage 儲存桶。持有有效憑證的惡意內部人員無法將 BigQuery 匯出上傳到外部雲端硬碟。VPC Service Controls 是「沒有任何資料離開跑道」的那一層，也是 CDL 考試在任何涉及資料外洩風險或影子 IT 防範的情境中期望您給出的答案。

Cloud KMS：CMEK 的核心引擎

Cloud Key Management Service（Cloud KMS） 是負責建立、儲存、輪替和稽核加密金鑰的 Google Cloud 服務。它是驅動所有支援客戶管理加密的 Google Cloud 服務中 CMEK 功能的核心引擎。

KMS 階層架構

Cloud KMS 以嚴格的三層階層架構組織金鑰：

1. KeyRing — 限定在特定區域（或 global）的邏輯容器。KeyRing 將相關金鑰分組，以便集體套用 IAM 政策。
2. CryptoKey — 用於加密或解密資料的個別金鑰。CryptoKey 有一個用途（加密/解密、簽章/驗證、MAC）和一個演算法（例如 AES-256-GCM、RSA-4096）。
3. CryptoKeyVersion — CryptoKey 的特定版本。輪替金鑰時，會建立新版本；舊版本仍可用於解密先前加密的資料。

軟體金鑰與 HSM 金鑰

Cloud KMS 提供兩種保護等級：

• SOFTWARE — 金鑰儲存在 Google 安全環境的軟體中。成本較低、速度較快，對大多數工作負載完全足夠。
• HSM — 金鑰在符合 FIPS 140-2 Level 3 認證的硬體安全模組（HSM）中產生並儲存。許多金融和政府合規體系的必要選項。

另外還有 Cloud External Key Manager（Cloud EKM） 適用於最嚴格管控的工作負載：實際金鑰本體存放在 Google 基礎架構之外的第三方 HSM 中，Google 每次加密/解密操作都必須呼叫那個外部系統。

金鑰輪替

Cloud KMS 支援按您定義的排程自動金鑰輪替（通常每 90 天一次）。每次輪替都會建立新的 CryptoKeyVersion；新的加密操作使用新版本，而較舊的資料仍可用其原始版本解密。對於 CDL 考試，業務面的重點是：「是的，我們可以定期輪替金鑰，而不會中斷對歷史資料的存取。」

Cloud DLP：尋找並保護敏感資料

Cloud Data Loss Prevention（Cloud DLP）——現在正式品牌名稱為 Sensitive Data Protection——是偵測、分類和保護資料中敏感元素的服務。

Cloud DLP 能偵測什麼

Cloud DLP 識別超過 150 種內建資訊類型（infoType），包括：

• 信用卡號碼（含 Luhn 演算法驗證）
• 美國社會安全號碼、英國國家保險號碼、台灣身分證字號
• 電子郵件地址和電話號碼
• IP 位址、MAC 位址
• 病歷號碼、ICD-10 代碼
• 您透過正規表達式、字典或熱詞自定義的資訊類型

Cloud DLP 對偵測結果做什麼

一旦識別出敏感資料，Cloud DLP 可以：

• 遮蔽（Redact） — 以固定字串如 [REDACTED] 取代。
• 遮罩（Mask） — 以符號如 * 取代部分字元。
• 代換（Tokenize） — 以可逆的代換碼取代，具備權限的使用者之後可以重新識別。
• 保留格式加密（Format-preserving encryption） — 在保持資料原始長度和字元集的同時進行加密（對期望特定格式的舊系統很有用）。

對於 CDL 考試，關鍵識別模式是：「情境提到 PII、信用卡或 HIPAA 資料流入 BigQuery、日誌或 Cloud Storage。」→ 答案幾乎總是 Cloud DLP / Sensitive Data Protection。

Secret Manager：集中式憑證儲存

Secret Manager 是 Google Cloud 在執行時儲存和擷取機密的託管服務——API 金鑰、資料庫密碼、OAuth 權杖、TLS 私密金鑰、簽章憑證。

每個機密有多個版本，因此輪替很直接：建立新版本，將應用程式切換為參照最新版本，並在寬限期後停用舊版本。Secret Manager 與 Cloud Run、Cloud Functions、GKE 和 Compute Engine 整合，讓工作負載在不將任何純文字保留在磁碟上的情況下擷取機密。

VPC Service Controls：防外洩邊界

VPC Service Controls 在您最敏感的 Google Cloud 服務周圍劃定安全邊界——BigQuery、Cloud Storage、Spanner、Bigtable、Cloud KMS 本身等數十個服務——即使是已驗證、具 IAM 授權的使用者也無法進行資料外洩。

VPC Service Controls 解決的典型問題是：具有合法 roles/bigquery.dataViewer 存取權限的開發者，原則上可以執行查詢並將結果複製到不同專案的個人 Cloud Storage 儲存桶。IAM 本身無法阻止這種情況，因為 IAM 關注的是誰能讀取資料，而非資料可以流向何處。VPC Service Controls 建立一個服務邊界，實際上規定：「這個邊界內的 BigQuery 資料只能被同樣在這個邊界內的工作負載讀取和寫入。」即使具備有效的 IAM 權限，來自外部的請求也會被封鎖。

對於 CDL 考試，將 VPC Service Controls 識別為以下情境的答案：

• 情境提到防止資料外洩。
• 法規要求 IAM 之外的縱深防禦。
• 組織希望將敏感資料集從其餘雲端資產中隔離。

機密運算：使用中加密

靜態加密涵蓋磁碟上的資料。傳輸中加密涵蓋網路傳輸的資料。但記憶體中的資料——CPU 正在處理時呢？傳統上，資料必須解密到 RAM 中，CPU 才能對其進行操作——這意味著具備 Hypervisor 層級存取的複雜攻擊者可以讀取它。

機密運算（Confidential Computing） 利用 AMD SEV（Secure Encrypted Virtualization） 和 Intel TDX（Trust Domain Extensions） 等 CPU 硬體功能填補這最後一個缺口。CPU 使用連 Hypervisor 都無法讀取的金鑰，加密虛擬機器記憶體的內容。Google Cloud 提供機密虛擬機器（Confidential VMs）、機密 GKE 節點（Confidential GKE Nodes），以及與 Dataflow 等服務的整合。

對於 CDL 考試，您不需要了解加密細節。您只需認識到機密運算保護使用中的資料，完成三態安全模型（靜態、傳輸中、使用中）。當情境提到多方運算、敏感金融工作負載或明確要求「使用中加密」的合規體系時，這就是答案。

資料保護如何與其他 CDL 章節連結

資料加密與保護並非孤立存在——它貫穿 CDL 考試中幾乎每一個其他 Google Cloud 安全與治理章節。

• 身分識別與存取管理 — 沒有強大的 IAM，加密毫無意義。BigQuery 資料集上的 CMEK 只有在謹慎授予 roles/cloudkms.cryptoKeyEncrypterDecrypter 的情況下才有意義。請參閱身分識別與存取管理（IAM），了解主體、角色和資源如何與加密金鑰互動。
• 合規性與隱私保護 — 大多數合規框架（HIPAA、PCI-DSS、GDPR、ISO 27001、SOC 2）都明確要求靜態和傳輸中加密。請參閱合規性與隱私保護，了解 Google Cloud 的認證如何對應這些要求。
• 雲端價值主張 — 強健的預設加密是讓 Google Cloud 的雲端價值主張對無法接受「之後再加入加密」的安全意識企業具有吸引力的因素之一。
• Cloud Audit Logs — 每次 Cloud KMS 金鑰使用、每次 Secret Manager 存取，以及每次 VPC Service Controls 拒絕，都會被記錄，提供誰在何時接觸了什麼的鑑識證據。

常見資料保護錯誤

對於 CDL 考試，當情境中出現以下反模式時，請加以識別：

1. 「我們需要在 Cloud Storage 儲存桶上啟用加密。」 — 框架錯誤。Cloud Storage 預設已加密；真正的問題是業務是否需要 CMEK。
2. 在原始碼中寫死 API 金鑰。 — 務必使用 Secret Manager。這是現實世界最常見的安全失誤之一。
3. 將 roles/cloudkms.admin 授予應用程式服務帳號。 — 服務帳號應持有較窄範圍的 roles/cloudkms.cryptoKeyEncrypterDecrypter 角色，而非管理員角色。
4. 假設 IAM 足以防止資料外洩。 — 對於敏感資料集，應在 IAM 之外額外使用 VPC Service Controls。
5. 在將資料匯出至 BigQuery 或外部合作夥伴之前跳過 Cloud DLP 掃描。 — PII 可能透過自由文字欄位悄悄進入，最終出現在分析儀表板或合作夥伴匯出中。

常見問題

我需要為 Cloud Storage、BigQuery 或 Compute Engine 啟用靜態加密嗎？

不需要。每個 Google Cloud 儲存服務都預設使用 Google 管理金鑰和 AES-256 對客戶資料進行靜態加密。您不需要進行任何設定，無法關閉它，也不需要額外付費。要問的問題不是「我應該啟用加密嗎？」而是「我是否需要客戶管理加密金鑰（CMEK）來滿足合規要求？」如果答案是肯定的，透過 Cloud KMS 設定 CMEK；否則預設的 Google 管理加密就是正確選擇。

CMEK 和 CSEK 有什麼區別？

CMEK（客戶管理加密金鑰） 將金鑰加密金鑰儲存在 Cloud KMS 中——Google 的託管金鑰服務。您控制金鑰的生命週期（啟用、停用、輪替、銷毀），但 Google 仍然操作加密基礎架構。CSEK（客戶提供加密金鑰） 更進一步：您在每次 API 請求中提供原始金鑰本體，Google 從不儲存它。CSEK 更安全但也更危險——如果您遺失金鑰，資料將永久無法復原。大多數受管工作負載使用 CMEK；CSEK 保留給最極端的高安全需求情境。

如果我刪除 Cloud KMS 金鑰會發生什麼？

Cloud KMS 金鑰刪除是排程的，而非即時的。當您請求刪除一個 CryptoKeyVersion 時，它會進入 DESTROY_SCHEDULED 狀態，預設等待期為 30 天（可設定為 1 至 120 天）。在此期間，您可以還原金鑰。等待期結束後，金鑰永久銷毀，任何以該特定版本加密的資料都將永遠無法讀取——包括 Google 本身。這是刻意設計的：它給了您一個防止意外銷毀的安全網，同時在合規要求時仍能保證永久刪除。

我應該何時選擇 VPC Service Controls 而非單獨依賴 IAM？

IAM 控制誰能讀取或寫入資料。VPC Service Controls 控制資料可以流向何處。當 IAM 本身無法防止風險時，使用 VPC Service Controls——通常是當已驗證的、具 IAM 授權的使用者可能將資料從已批准的環境複製到未批准的環境（個人專案、外部儲存桶、第三方 SaaS）時。CDL 情境中的常見觸發詞是「防止資料外洩」、「縱深防禦」和「受管資料集隔離」。

什麼是 Cloud DLP，它為何更名？

Cloud DLP（Data Loss Prevention）是 Google Cloud 用於偵測和保護敏感資料的服務——信用卡、PII、醫療識別碼、自定義資訊類型。它正式更名為 Sensitive Data Protection，以更好地反映其範圍，但 CDL 考試可能仍使用任一名稱。功能相同：掃描資料來源、透過超過 150 種內建資訊類型識別敏感元素，並套用遮蔽、遮罩、代換或保留格式加密。每當敏感資料需要流過分析管線、日誌或外部系統時使用它。

Google Cloud 內部跨區域的資料是否自動加密？

是的。當資料在 Google Cloud 各區域之間移動——例如，Spanner 資料庫的多區域複製，或設定為多區域的 Cloud Storage 儲存桶——流量經由 Google 的私有全球骨幹傳輸，並自動進行傳輸中加密，無需任何設定。同樣適用於同一區域內 Google Cloud 服務之間的流量。只有當流量離開 Google Cloud 時，才需要考慮傳輸中加密的問題，例如連接到地端資料中心的 Cloud VPN 或 Cloud Interconnect 連線。

總結：加密作為每個工作負載下的安全防線

對於 Cloud Digital Leader 考試，資料加密與保護是 IAM 失效時啟動的安全層。記住資料的三種狀態——靜態、傳輸中和使用中——以及 Google Cloud 預設加密前兩種，當業務需要自己持有金鑰時，透過 Cloud KMS 的 CMEK 隨時可用，而機密運算則覆蓋第三種狀態。

配套服務同樣重要：Cloud DLP / Sensitive Data Protection 尋找並遮蔽敏感元素；Secret Manager 是 API 金鑰和憑證的標準儲存位置；VPC Service Controls 在 IAM 允許讀取的情況下也能阻止資料洩漏；Identity-Aware Proxy 無需 VPN 即可驗證應用程式存取；Cloud VPN 和 Cloud Interconnect 加密到地端資料中心的混合式連線。

能以業務語言闡述這些工具的 CDL——「我們預設使用 Google 管理加密，在 HIPAA 工作負載上疊加 CMEK，將所有憑證儲存在 Secret Manager，並將分析資料集包裹在 VPC Service Controls 邊界中以防止外洩」——就準備好向利害關係人說明 Google Cloud 如何達到現代企業要求的安全與合規標準了。加密不是您事後加上去的功能；在 Google Cloud 中，它是一切其他一切所奠基的基礎。