Cloud Build fornisce la conformità alle chiavi di crittografia gestite dal cliente (CMEK)crittografando il disco permanente in fase di compilazione con una chiave effimera generata per ogni build. Non è richiesta alcuna configurazione. La chiave viene generata in modo univoco per ogni build.
Una volta avviata una build, la chiave è accessibile solo ai processi di build che la richiedono per tutta la durata della build. Dopodiché, la chiave viene cancellata dalla memoria e distrutta.
La chiave non viene conservata da nessuna parte, non è accessibile agli ingegneri o al personale di assistenza di Google e non può essere ripristinata. I dati protetti utilizzando una chiave di questo tipo non saranno più accessibili al termine della build.
Come funziona la crittografia con chiavi effimere?
Cloud Build supporta CMEK tramite l'utilizzo di chiavi effimere, consentendo di essere completamente coerente e compatibile con una configurazione abilitata per CMEK.
Cloud Build esegue le seguenti operazioni per garantire che i dischi permanenti in fase di build siano criptati con una chiave effimera:
Cloud Build crea una chiave di crittografia casuale a 256 bit per criptare ogni disco permanente in fase di build.
Cloud Build sfrutta la funzionalità Chiave di crittografia fornita dal cliente (CSEK) del disco permanente per utilizzare questa nuova chiave di crittografia come chiave di crittografia del disco permanente.
Cloud Build distrugge la chiave effimera non appena viene creato il disco. La chiave non viene mai registrata o scritta in alcun spazio di archiviazione permanente ed è ora irrecuperabile.
Al termine della build, il disco permanente viene eliminato e non rimangono tracce della chiave né dei dati del disco permanente criptato in nessun punto dell'infrastruttura Google.
Quando non si applica la crittografia con chiavi effimere?
Quando crei o attivi una build utilizzando il mirroring dell'origine (e non utilizzando trigger GitHub), il codice sorgente viene archiviato in Cloud Storage o Cloud Source Repositories. Hai il pieno controllo della posizione di archiviazione del codice, incluso il controllo della crittografia.
Log di build
Cloud Build offre diverse opzioni per archiviare i log di build. Per essere conforme a CMEK, devi archiviare i log solo in Cloud Logging o nel tuo bucket Cloud Storage.