Conformidade do CMEK no Cloud Build

O Cloud Build oferece conformidade com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) criptografando o disco permanente no momento da criação com uma chave temporária gerada para cada build. Nenhuma configuração é necessária. A chave é gerada exclusivamente para cada build.

Quando um build é iniciado, a chave só fica acessível aos processos de build que a exigem por até 24 horas. Em seguida, a chave é apagada da memória e destruída.

A chave não é retida em nenhum lugar, não pode ser acessada por engenheiros do Google nem pela equipe de suporte e não pode ser restaurada. Os dados que foram protegidos usando essa chave ficam permanentemente inacessíveis após a conclusão do build.

Como funciona a criptografia de chave efêmera?

O Cloud Build é compatível com o CMEK por meio do uso de chaves efêmeras, o que o torna totalmente consistente e compatível com uma configuração ativada para o CMEK.

O Cloud Build faz o seguinte para garantir que os discos permanentes sejam criptografados com uma chave temporária:

  1. O Cloud Build gera uma chave de criptografia aleatória de 256 bits para criptografar cada disco permanente de tempo de build.

  2. O Cloud Build aproveita o recurso de chave de criptografia fornecida pelo cliente (CSEK) do disco persistente para usar essa nova chave de criptografia como uma chave de criptografia de disco persistente.

  3. O Cloud Build destrói a chave temporária assim que o disco é criado. A chave nunca é registrada nem gravada em armazenamento persistente e, assim, é irrecuperável.

  4. Quando a build é concluída, o disco permanente é excluído. Nesse ponto, não há rastros da chave nem dos dados do disco permanente criptografado em nenhum lugar na infraestrutura do Google.

Quando a criptografia de chave efêmera não se aplica?

Quando você cria ou aciona um build usando o espelhamento de origem (e não os gatilhos do GitHub), o código-fonte é armazenado no Cloud Storage ou no Cloud Source Repositories. Você tem controle total sobre o local de armazenamento do código, incluindo o controle sobre sua criptografia.