O Cloud Build oferece conformidade com as chaves de encriptação geridas pelo cliente (CMEK) encriptando o disco persistente no momento da compilação com uma chave efémera gerada para cada compilação. Não é necessária qualquer configuração. A chave é gerada de forma exclusiva para cada compilação.
Quando uma compilação é iniciada, a chave só fica acessível aos processos de compilação que a requerem durante um período máximo de 24 horas. Em seguida, a chave é apagada da memória e destruída.
A chave não é retida em nenhum local, não é acessível aos engenheiros nem ao pessoal de apoio técnico da Google e não pode ser restaurada. Os dados protegidos com essa chave ficam permanentemente inacessíveis assim que a compilação estiver concluída.
Como funciona a encriptação de chaves efémeras?
O Cloud Build suporta CMEK através da utilização de chaves efémeras, o que lhe permite ser totalmente consistente e compatível com uma configuração ativada para CMEK.
O Cloud Build faz o seguinte para garantir que os discos persistentes no momento da compilação são encriptados com uma chave efémera:
O Cloud Build gera uma chave de encriptação aleatória de 256 bits para encriptar cada disco persistente no momento da compilação.
O Cloud Build tira partido da funcionalidade de chave de encriptação fornecida pelo cliente (CSEK) do disco persistente para usar esta nova chave de encriptação como uma chave de encriptação de disco persistente.
O Cloud Build destrói a chave efémera assim que o disco é criado. A chave nunca é registada nem escrita em nenhum armazenamento persistente e é agora irrecuperável.
Quando a compilação estiver concluída, o disco persistente é eliminado. Neste momento, não ficam vestígios da chave nem dos dados do disco persistente encriptados em nenhum lugar na infraestrutura da Google.
Quando é que a encriptação de chaves efémeras não se aplica?
Quando cria ou aciona uma compilação através da sincronização de origens (e não através de acionadores do GitHub), o seu código-fonte é armazenado no Cloud Storage ou nos Cloud Source Repositories. Tem controlo total sobre a localização do armazenamento de código, incluindo o controlo sobre a respetiva encriptação.