Conformità CMEK in Cloud Build

Cloud Build fornisce conformità di chiave di crittografia gestita dal cliente (CMEK) criptando il disco permanente al momento della creazione con una chiave temporanea generata per ogni build. Non è richiesta alcuna configurazione. La chiave viene generata in modo univoco per ogni build.

Al termine della build, la chiave viene cancellata dalla memoria e eliminata. Non viene archiviato, non è accessibile agli ingegneri o al personale di assistenza di Google e non può essere ripristinato. I dati protetti mediante tale chiave sono inaccessibili in modo permanente.

Come funziona la crittografia della chiave temporanea?

Cloud Build supporta CMEK tramite l'uso di chiavi temporanee, in modo che siano coerenti e compatibili con una configurazione abilitata per CMEK.

Cloud Build esegue le seguenti operazioni per garantire che i DP in fase di build siano criptati con una chiave temporanea:

  1. Cloud Build conia una chiave di crittografia casuale a 256 bit nella RAM locale per criptare ogni disco permanente integrato.

  2. Cloud Build utilizza la funzionalità chiave di crittografia fornita dal cliente (CSEK) per utilizzare questa nuova chiave di crittografia come chiave di crittografia PD.

  3. Subito dopo aver avviato la build, Cloud Build cancella la chiave generata temporaneamente per la build dalla RAM locale. La chiave non viene mai registrata o scritta in nessuno spazio di archiviazione permanente ed è ora irreversibile.

  4. Al completamento della build, il disco permanente viene eliminato, dopodiché non vengono tracce delle chiavi o dei dati DP criptati in qualsiasi punto dell'infrastruttura Google.

In quali casi non si applica la crittografia della chiave temporanea?

Nei seguenti scenari, la crittografia temporanea delle chiavi non viene applicata:

  • Quando crei o attivi una build utilizzando il mirroring del codice sorgente (e non tramite trigger GitHub), il codice sorgente viene archiviato in Cloud Storage o Cloud Source Repositories. Hai il pieno controllo sulla posizione di archiviazione del codice, incluso il controllo sulla sua crittografia.

  • Quando l'utente risiede in un'area geografica interessata dalle limitazioni locali relative alla crittografia, ad esempio Brasile o India, Cloud Build non può applicare la crittografia della chiave temporanea ai DP.