Cumplimiento de CMEK en Cloud Build

Cloud Build proporciona cumplimiento de las claves de encriptación administradas por el cliente (CMEK) mediante la encriptación del disco persistente en el tiempo de compilación con una clave efímera que se genera para cada compilación. No se requiere configuración. La clave se genera una vez para cada compilación.

Una vez que se inicia una compilación, solo pueden acceder a la clave los procesos de compilación que la necesiten durante un máximo de 24 horas. Luego, la clave se limpia de la memoria y se destruye.

La clave no se conserva en ningún lugar, no es accesible para los ingenieros de Google o el personal de asistencia y no se puede restablecer. Los datos que se protegieron con esa clave serán inaccesibles de manera permanente una vez que se completa la compilación.

¿Cómo funciona la encriptación de clave efímera?

Cloud Build es compatible con CMEK mediante el uso de claves efímeras, lo que le permite ser totalmente coherente y compatible con una configuración habilitada con CMEK.

Cloud Build hace lo siguiente para garantizar que los discos persistentes en tiempo de compilación se encripten con una clave efímera:

  1. Cloud Build crea una clave de encriptación aleatoria de 256 bits para encriptar cada disco persistente en tiempo de compilación.

  2. Cloud Build aprovecha la función de Clave de encriptación proporcionada por el cliente (CSEK) del disco persistente para usar esta nueva clave de encriptación como clave de encriptación de disco persistente.

  3. Cloud Build destruye la clave efímera en cuanto se crea el disco. La clave nunca se registra ni se escribe en un almacenamiento persistente y ahora es irrecuperable.

  4. Cuando se completa la compilación, se borra el disco persistente y, en ese momento, no quedan rastros de la clave ni datos encriptados del disco persistente en ninguna parte de la infraestructura de Google.

¿Cuándo no se aplica la encriptación de clave efímera?

Cuando creas o activas una compilación mediante la duplicación de código fuente (y sin usar activadores de GitHub), tu código fuente se almacena en Cloud Storage o en Cloud Source Repositories. Tienes el control total sobre la ubicación de almacenamiento del código, incluido el control de su encriptación.