Cloud Build garantisce la conformità alle chiavi di crittografia gestite dal cliente (CMEK) criptando il disco permanente al momento della compilazione con una chiave effimera generata per ogni compilazione. Non è richiesta alcuna configurazione. La chiave viene generata in modo univoco per ogni build.
Una volta avviata una compilazione, la chiave è accessibile solo ai processi di compilazione che la richiedono per un massimo di 24 ore. Dopodiché la chiave viene cancellata dalla memoria e distrutta.
La chiave non viene conservata da nessuna parte, non è accessibile al personale di assistenza o agli ingegneri di Google e non può essere ripristinata. I dati protetti utilizzando una chiave di questo tipo non sono più accessibili al termine della compilazione.
Come funziona la crittografia delle chiavi effimere?
Cloud Build supporta CMEK tramite l'utilizzo di chiavi effimere, il che consente di essere pienamente coerente e compatibile con una configurazione abilitata per CMEK.
Cloud Build esegue le seguenti operazioni per garantire che i dischi permanenti al momento della compilazione siano criptati con una chiave temporanea:
Cloud Build conia una chiave di crittografia casuale a 256 bit per criptare ogni disco permanente in fase di build.
Cloud Build sfrutta la funzionalità della chiave di crittografia fornita dal cliente (CSEK) del disco permanente per utilizzare questa nuova chiave di crittografia come chiave di crittografia del disco permanente.
Cloud Build distrugge la chiave temporanea non appena viene creato il disco. La chiave non viene mai registrata o scritta in alcuno spazio di archiviazione permanente e ora non è recuperabile.
Al termine della compilazione, il disco persistente viene eliminato e non rimangono tracce della chiave né dei dati del disco persistente criptato nell'infrastruttura di Google.
Quando la crittografia delle chiavi effimere non si applica?
Quando crei o attivi una compilazione utilizzando il mirroring dei sorgenti (e non utilizzi trigger GitHub), il codice sorgente viene archiviato in Cloud Storage o Cloud Source Repositories. Hai il controllo completo sulla posizione di archiviazione del codice, inclusa la crittografia.