Conformidade do CMEK no Cloud Build

O Cloud Build oferece conformidade com chaves de criptografia gerenciadas pelo cliente (CMEK) criptografando o disco permanente no momento da criação com uma chave temporária gerada para cada build. Nenhuma configuração é necessária. A chave é gerada exclusivamente para cada build.

Depois que uma build é iniciada, a chave fica acessível apenas aos processos de build que a exigem durante o ciclo de vida da build. Em seguida, a chave é apagada da memória e destruída.

A chave não é mantida em nenhum lugar, não pode ser acessada por engenheiros do Google nem pela equipe de suporte e não pode ser restaurada. Os dados protegidos com essa chave ficam permanentemente inacessíveis quando o build é concluído.

Como funciona a criptografia de chave efêmera?

O Cloud Build é compatível com o CMEK por meio do uso de chaves efêmeras, o que o torna totalmente consistente e compatível com uma configuração ativada para o CMEK.

O Cloud Build possibilita que os discos permanentes com tempo de build sejam criptografados com uma chave temporária da seguinte maneira:

  1. O Cloud Build gera uma chave de criptografia aleatória de 256 bits para criptografar cada disco permanente com tempo de build.

  2. O Cloud Build usa o recurso de chave de criptografia fornecida pelo cliente (CSEK) do disco permanente para usar essa nova chave de criptografia como uma chave de criptografia de disco permanente.

  3. O Cloud Build destrói a chave temporária assim que o disco é criado. A chave nunca é registrada nem gravada em armazenamento permanente e, portanto, é irrecuperável.

  4. Quando a build é concluída, o disco permanente é excluído. Nesse ponto, não há rastros da chave nem dos dados do disco permanente criptografados em nenhum lugar na infraestrutura do Google.

Quando a criptografia de chave efêmera não se aplica?

Quando você cria ou aciona uma build usando o espelhamento de origem (e não os gatilhos do GitHub), o código-fonte é armazenado no Cloud Storage ou no Cloud Source Repositories. Você tem controle total sobre o local de armazenamento do código, incluindo o controle sobre sua criptografia.

registros de compilações.

O Cloud Build oferece várias opções para armazenar os registros de build. Para obedecer à CMEK, armazene seus registros apenas no Cloud Logging ou em seu próprio bucket do Cloud Storage.