Cumplimiento de CMEK en Cloud Build

Cloud Build proporciona cumplimiento de las claves de encriptación administradas por el cliente (CMEK) mediante la encriptación del disco persistente en tiempo de compilación con una clave efímera que se genera para cada compilación. No se requiere configuración. La clave se genera una vez para cada compilación.

Una vez que se inicia una compilación, solo los procesos de compilación que la requieran podrán acceder a la clave durante un máximo de 24 horas. Luego, la clave se limpia de la memoria y se destruye.

La clave no se retiene en ningún lugar, los ingenieros de Google o el personal de asistencia no pueden acceder a ella, y no se puede restablecer. No se puede acceder de forma permanente a los datos protegidos con esa clave una vez que se completa la compilación.

¿Cómo funciona la encriptación de clave efímera?

Cloud Build es compatible con CMEK mediante el uso de claves efímeras, lo que le permite ser totalmente coherente y compatible con una configuración habilitada con CMEK.

Cloud Build hace lo siguiente para garantizar que los discos persistentes en el tiempo de compilación se encripten con una clave efímera:

  1. Cloud Build crea una clave de encriptación aleatoria de 256 bits para encriptar cada disco persistente en el tiempo de compilación.

  2. Cloud Build aprovecha la función de Clave de encriptación suministrada por el cliente (CSEK) del disco persistente para usar esta nueva clave de encriptación como clave de encriptación del disco persistente.

  3. Cloud Build destruye la clave efímera en cuanto se crea el disco. La clave nunca se registra ni se escribe en ningún almacenamiento continuo y ahora es irrecuperable.

  4. Cuando se completa la compilación, el disco persistente se borra y no quedan rastros de la clave ni datos encriptados del disco persistente en ninguna parte de la infraestructura de Google.

¿Cuándo no se aplica la encriptación de clave efímera?

Cuando creas o activas una compilación mediante la duplicación de fuente (y no a través de los activadores de GitHub), tu código fuente se almacena en Cloud Storage o en Cloud Source Repositories. Tienes el control total sobre la ubicación de almacenamiento del código, incluido el control de su encriptación.