正解:D
この問題の要件は、「保存されたデータ(つまり保存時のデータ)が独自のキーで暗号化されること」です。
1. データの暗号化のタイプ
データベースにおける暗号化には主に以下の3つのタイプがあります。
-
転送中の暗号化 (Encryption in transit): データがネットワーク上を移動する際に保護すること。
-
保存時の暗号化 (Encryption at rest): ディスクなどのストレージにデータが保存されているときに保護すること。
-
独自のキー管理: Googleが管理するキーではなく、ユーザー自身がキーの作成、ローテーション、アクセス制御を管理すること。
2. 選択肢の検証
-
A. Cloud Storage へのエクスポート (CSEK):
-
これはCloud SQL データベース内の保存されたデータを独自のキーで保護するソリューションではありません。データをCloud Storageに移動させているだけです。
-
CSEK (Customer-Supplied Encryption Keys) は、ユーザーがキーを提供しますが、この問題の直接的な解決策ではありません。
-
-
B. Cloud SQL Auth Proxy の使用:
-
Auth Proxy は、**安全な接続(転送中の暗号化)**と IAM 認証を容易にするためのツールであり、保存時のデータの暗号化キーを管理する機能は提供しません。
-
-
C. SSL 接続の使用:
-
SSL/TLS は、転送中のデータを暗号化するために使用されます。保存時のデータの暗号化には関係ありません。
-
-
D. 顧客管理の暗号化キー (CMEK) の使用:
-
CMEK (Customer-Managed Encryption Keys) は、この要件を直接的かつ完全に満たす Google Cloud の機能です。
-
Cloud SQL で CMEK を構成すると、データベースのディスクに保存されるデータ(データベースファイル、バックアップ、リードレプリカのデータなど)が、Google Cloud KMS (Key Management Service) でユーザーが管理するキーを使用して暗号化されます。
-
これにより、「保存されたデータが独自のキーで暗号化される」という要件が満たされます。
-
したがって、Cloud SQL データベースの保存データを独自のキーで保護するための公式かつ適切な方法は、CMEK を使用することです。
コメント