Cloud Build ofrece cumplimiento de las claves de encriptado gestionadas por el cliente (CMEK) encriptando el disco persistente del tiempo de compilación con una clave efímera que se genera para cada compilación. No es necesario configurar nada. La clave se genera de forma única para cada compilación.
Una vez que se inicia una compilación, la clave solo es accesible para los procesos de compilación que la requieran durante un máximo de 24 horas. A continuación, la clave se borra de la memoria y se destruye.
La clave no se conserva en ningún sitio, los ingenieros ni el equipo de Asistencia de Google no pueden acceder a ella y no se puede restaurar. Los datos protegidos con una clave de este tipo no se podrán consultar de forma permanente una vez que se haya completado la compilación.
¿Cómo funciona el cifrado con clave efímera?
Cloud Build admite CMEK mediante el uso de claves efímeras, lo que le permite ser totalmente coherente y compatible con una configuración habilitada para CMEK.
Cloud Build hace lo siguiente para asegurarse de que los discos persistentes de tiempo de compilación se cifren con una clave efímera:
Cloud Build genera una clave de cifrado aleatoria de 256 bits para cifrar cada disco persistente en tiempo de compilación.
Cloud Build aprovecha la función de clave de encriptado proporcionada por el cliente (CSEK) del disco persistente para usar esta nueva clave de encriptado como clave de encriptado de disco persistente.
Cloud Build destruye la clave efímera en cuanto se crea el disco. La clave nunca se registra ni se escribe en ningún almacenamiento persistente y ahora no se puede recuperar.
Cuando se completa la compilación, se elimina el disco persistente, momento en el que no queda ningún rastro de la clave ni de los datos del disco persistente cifrado en ninguna parte de la infraestructura de Google.
¿Cuándo no se aplica el cifrado con clave efímera?
Cuando creas o activas una compilación mediante la réplica de código fuente (y no mediante activadores de GitHub), tu código fuente se almacena en Cloud Storage o en Cloud Source Repositories. Tienes control total sobre la ubicación del almacenamiento del código, incluido el cifrado.