本文由【云老大】 TG@yunlaoda360 撰写
数据完整性验证
- 使用校验和:谷歌云支持使用CRC32C和MD5校验和来检查数据的完整性。在上传或下载数据时,可以计算校验和并与服务器返回的值进行比较,以确保数据未被篡改。
- 自动检查:Cloud KMS的每个加密操作请求和响应都包含CRC32C校验和字段。服务器会自动检查数据是否损坏,如果检测到损坏,操作将被中止并记录详细错误。
加密数据验证
- 加密密钥保护:Cloud KMS通过使用密钥加密密钥(KEK)来保护静态加密密钥。每个加密密钥都使用KEK进行加密,从而提供额外的保护层。
- 验证加密操作:在加密和解密操作中,可以验证请求和响应中的校验和字段。例如,在加密请求中包含
plaintext_crc32c字段,服务器会在响应中设置verified_plaintext_crc32c字段,指示是否成功验证了校验和。
身份验证
- 使用Google ID令牌:在服务器端验证Google ID令牌时,可以使用Google的公共密钥来验证令牌的签名。这些密钥定期轮换,以确保安全性。
- 服务账号和API密钥:对于在Google Cloud上运行的工作负载,可以使用关联到计算资源的服务账号进行身份验证。对于本地开发环境,可以使用gcloud CLI生成访问令牌。
数据迁移验证
- 验证迁移后的数据:在将数据迁移到Cloud SQL等服务后,可以使用SQL命令验证数据的完整性和准确性。例如,可以列出所有数据库和表,检查表定义和内容。
