Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1
O Cloud Composer oferece algumas funcionalidades de segurança e conformidades que são benéficas para empresas com requisitos de segurança mais rigorosos.
Estas três secções apresentam informações sobre as funcionalidades de segurança do Cloud Composer:
- Funcionalidades básicas de segurança. Descreve as funcionalidades que estão disponíveis nos ambientes do Cloud Composer por predefinição.
- Funcionalidades de segurança avançadas. Descreve as funcionalidades que pode usar para modificar o Cloud Composer de acordo com os seus requisitos de segurança.
- Conformidade com as normas. Fornece uma lista de normas com as quais o Cloud Composer está em conformidade.
Funcionalidades básicas de segurança
Esta secção apresenta as funcionalidades relacionadas com a segurança fornecidas por predefinição para cada ambiente do Cloud Composer.
Encriptação em repouso
O Cloud Composer usa a encriptação em repouso no Google Cloud.
O Cloud Composer armazena dados em diferentes serviços. Por exemplo, a base de dados de metadados do Airflow usa a base de dados do Cloud SQL, e os DAGs são armazenados em contentores do Cloud Storage.
Por predefinição, os dados são encriptados através da Google-owned and Google-managed encryption keys.
Se preferir, pode configurar ambientes do Cloud Composer para serem encriptados com chaves de encriptação geridas pelo cliente.
Acesso uniforme ao nível do contentor
O acesso de nível de contentor uniforme permite-lhe controlar uniformemente o acesso aos seus recursos do Cloud Storage. Este mecanismo também se aplica ao contentor do seu ambiente, que armazena os seus DAGs e plug-ins.
Autorizações do utilizador
O Cloud Composer tem várias funcionalidades para gerir as autorizações dos utilizadores:
Funções e autorizações de IAM. Os ambientes do Cloud Composer num Google Cloud projeto só podem ser acedidos por utilizadores cujas contas são adicionadas ao IAM do projeto.
Funções e autorizações específicas do Cloud Composer. Atribui estas funções e autorizações às contas de utilizador no seu projeto. Cada função define os tipos de operações que uma conta de utilizador pode realizar em ambientes do Cloud Composer no seu projeto.
Controlo de acesso à IU do Airflow. Os utilizadores no seu projeto podem ter diferentes níveis de acesso na IU do Airflow. Este mecanismo denomina-se controlo de acesso da IU do Airflow (controlo de acesso baseado em funções do Airflow ou CABF do Airflow).
Partilha restrita ao domínio (DRS). O Cloud Composer é compatível com a política organizacional de partilha restrita de domínio. Se usar esta política, apenas os utilizadores dos domínios selecionados podem aceder aos seus ambientes.
Ambientes de IP privado
Pode criar ambientes do Cloud Composer na configuração de rede IP privada.
No modo de IP privado, os nós do cluster do seu ambiente não têm endereços IP externos e não comunicam através da Internet pública.
O cluster do seu ambiente usa VMs protegidas
As VMs protegidas são máquinas virtuais (VMs) no Google Cloud Google Cloud Platform, reforçadas por um conjunto de controlos de segurança que ajudam a defender contra rootkits e bootkits.
Os ambientes do Cloud Composer 1 criados com base nas versões 1.18 e posteriores do GKE usam VMs protegidas para executar os nós do respetivo cluster de ambiente.
Funcionalidades de segurança avançadas
Esta secção apresenta uma lista de funcionalidades avançadas relacionadas com a segurança para os ambientes do Cloud Composer.
Chaves de encriptação geridas pelo cliente (CMEK)
O Cloud Composer suporta chaves de encriptação geridas pelo cliente (CMEK). As CMEK oferecem-lhe mais controlo sobre as chaves usadas para encriptar dados em repouso num Google Cloud projeto.
Pode usar a CMEK com o Cloud Composer para encriptar e desencriptar dados gerados por um ambiente do Cloud Composer.
Suporte dos VPC Service Controls (VPC SC)
Os VPC Service Controls são um mecanismo para mitigar os riscos de exfiltração de dados.
O Cloud Composer pode ser selecionado como um serviço seguro dentro de um perímetro dos VPC Service Controls. Todos os recursos subjacentes usados pelo Cloud Composer estão configurados para suportar a arquitetura do VPC Service Controls e seguir as respetivas regras. Só é possível criar ambientes de IP privado num perímetro do SC da VPC.
A implementação de ambientes do Cloud Composer com os VPC Service Controls oferece-lhe:
Risco reduzido de exfiltração de dados.
Proteção contra a exposição de dados devido a controlos de acesso configurados incorretamente.
Risco reduzido de utilizadores maliciosos copiarem dados paraGoogle Cloud recursos não autorizados ou de atacantes externos acederem aGoogle Cloud recursos a partir da Internet.
Níveis de controlo de acesso à rede do servidor Web (ACL)
Os servidores Web do Airflow no Cloud Composer são sempre aprovisionados com um endereço IP acessível externamente. Pode controlar a partir de que endereços IP é possível aceder à IU do Airflow. O Cloud Composer suporta intervalos IPv4 e IPv6.
Pode configurar restrições de acesso ao servidor Web
na Google Cloud consola, gcloud, API e Terraform.
O Secret Manager como armazenamento de dados de configuração confidenciais
No Cloud Composer, pode configurar o Airflow para usar o Secret Manager como um back-end onde as variáveis de ligação do Airflow são armazenadas.
Os programadores de DAGs também podem ler variáveis e ligações armazenadas no Secret Manager a partir do código DAG.
Conformidade com as normas
Consulte as páginas indicadas abaixo para verificar a conformidade do Cloud Composer com várias normas:
- Conformidade com a HIPAA
- Transparência de acesso
- PCI DSS
- ISO/IEC: 27001, 27017, 27018
- SOC: SOC 1, SOC 2, SOC 3
- NIST: NIST800-53, NIST800-171
- DRZ FedRamp Moderate
- Restrições de residência/localização de dados (guia de configuração para o Cloud Composer)
Veja também
Algumas das funcionalidades de segurança mencionadas neste artigo são abordadas na apresentação do Airflow Summit 2020: Execute DAGs do Airflow de forma segura.