Présentation de la sécurité Cloud Composer

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Cloud Composer comporte certaines fonctionnalités de sécurité et de conformité utiles pour les entreprises présentant des exigences de sécurité plus strictes.

Ces trois sections contiennent des informations sur les fonctionnalités de sécurité de Cloud Composer :

Fonctionnalités de sécurité de base

Cette section répertorie les fonctionnalités de sécurité fournies par défaut pour chaque environnement Cloud Composer.

Chiffrement au repos

Cloud Composer utilise le chiffrement au repos dans Google Cloud.

Cloud Composer stocke les données dans différents services. Par exemple, la base de données de métadonnées Airflow utilise une base de données Cloud SQL, et les DAG sont stockés dans des buckets Cloud Storage.

Par défaut, les données sont chiffrées à l'aide de clés de chiffrement gérées par Google.

Si vous préférez, vous pouvez configurer les environnements Cloud Composer à chiffrer avec des clés de chiffrement gérées par le client.

Accès uniforme au niveau du bucket

L'accès uniforme au niveau du bucket vous permet de contrôler de manière uniforme l'accès à vos ressources Cloud Storage. Ce mécanisme s'applique également au bucket de votre environnement, qui stocke vos DAG et plug-ins.

Autorisations d'utilisateur

Cloud Composer dispose de plusieurs fonctionnalités pour gérer les autorisations utilisateur :

  • Rôles et autorisations IAM. Les environnements Cloud Composer d'un projet Google Cloud ne sont accessibles qu'aux utilisateurs dont les comptes sont ajoutés aux autorisations IAM du projet.

  • Rôles et autorisations spécifiques à Cloud Composer. Vous attribuez ces rôles et autorisations aux comptes utilisateur de votre projet. Chaque rôle définit les types d'opérations qu'un compte utilisateur peut effectuer sur les environnements Cloud Composer de votre projet.

  • Contrôle des accès à l'interface utilisateur Airflow. Les utilisateurs de votre projet peuvent avoir différents niveaux d'accès dans l'interface utilisateur d'Airflow. Ce mécanisme est appelé contrôle d'accès à l'interface utilisateur d'Airflow (contrôle des accès basé sur les rôles Airflow, ou Airflow RBAC).

  • Partage restreint de domaine (DRS). Cloud Composer est compatible avec la règle d'administration de partage restreint de domaine. Si vous utilisez cette règle, seuls les utilisateurs des domaines sélectionnés peuvent accéder à vos environnements.

Environnements d'adresse IP privée

Vous pouvez créer des environnements Cloud Composer dans la configuration réseau IP privé.

En mode d'adresse IP privée, les nœuds du cluster de votre environnement n'ont pas d'adresses IP externes et ne communiquent pas via l'Internet public.

Le cluster de votre environnement utilise des VM protégées

Les VM protégées sont des machines virtuelles (VM) hébergées sur Google Cloud Platform, renforcées par un ensemble de paramètres de sécurité conçus pour éliminer les rootkits et les bootkits.

Les environnements Cloud Composer utilisent des VM protégées pour exécuter les nœuds de leur cluster d'environnement.

Fonctionnalités de sécurité avancées

Cette section répertorie les fonctionnalités de sécurité avancées pour les environnements Cloud Composer.

Clés de chiffrement gérées par le client (CMEK)

Cloud Composer accepte les clés de chiffrement gérées par le client (CMEK). Les CMEK vous offrent plus de contrôle sur les clés utilisées pour chiffrer les données au repos dans un projet Google Cloud.

Vous pouvez utiliser des CMEK avec Cloud Composer pour chiffrer et déchiffrer les données générées par un environnement Cloud Composer.

Compatibilité avec VPC Service Controls (VPC SC)

VPC Service Controls est un mécanisme permettant de limiter les risques d'exfiltration de données.

Cloud Composer peut désormais être sélectionné en tant que service sécurisé dans un périmètre VPC Service Controls. Toutes les ressources sous-jacentes utilisées par Cloud Composer sont configurées pour assurer l'architecture de VPC Service Controls et respecter ses règles. Seuls les environnements IP privés peuvent être créés dans un périmètre VPC SC.

Le déploiement d'environnements Cloud Composer avec VPC Service Controls offre les avantages suivants :

  • Réduction du risque d'exfiltration des données

  • Protection contre l'exposition des données en raison d'une mauvaise configuration des contrôles des accès

  • Réduction du risque de copie des données par des utilisateurs malveillants vers des ressources Google Cloud non autorisées ou des pirates informatiques externes accédant aux ressources Google Cloud depuis Internet

Niveaux de contrôle des accès (LCA) au réseau du serveur Web

Les serveurs Web Airflow dans Cloud Composer sont toujours provisionnés avec une adresse IP accessible en externe. Vous pouvez contrôler les adresses IP depuis lesquelles l'interface utilisateur d'Airflow est accessible. Cloud Composer est compatible avec les plages IPv4 et IPv6.

Vous pouvez configurer des restrictions d'accès aux serveurs Web dans la console Google Cloud, gcloud, l'API et Terraform.

Secret Manager comme espace de stockage pour les données de configuration sensibles

Dans Cloud Composer, vous pouvez configurer Airflow pour utiliser Secret Manager en tant que backend dans lequel les variables de connexion Airflow sont stockées.

Les développeurs de DAG peuvent également lire les variables et les connexions stockées dans Secret Manager à partir du code du DAG.

Conformité avec les normes

Consultez les pages ci-dessous pour vérifier la conformité de Cloud Composer avec différentes normes :

Voir aussi

Certaines des fonctionnalités de sécurité mentionnées dans cet article sont décrites dans la présentation du Airflow Summit 2020, Run Airflow DAGs in a secure way (Exécuter des DAG Airflow de manière sécurisée).

Étapes suivantes