Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Cloud Composer offre alcune funzionalità di sicurezza e di conformità vantaggiose per le aziende i tuoi requisiti di sicurezza.
Queste tre sezioni presentano informazioni su Cloud Composer funzionalità di sicurezza:
- Funzionalità di sicurezza di base. Descrive le funzionalità disponibili in ambienti Cloud Composer.
- Funzionalità di sicurezza avanzate. Descrive le caratteristiche che per modificare Cloud Composer in base ai tuoi requisiti di sicurezza.
- Conformità agli standard. Fornisce un elenco di standard Cloud Composer è conforme.
Funzionalità di sicurezza di base
In questa sezione sono elencate le funzionalità di sicurezza fornite per impostazione predefinita per ogni nell'ambiente Cloud Composer.
Crittografia dei dati inattivi
Cloud Composer utilizza crittografia at-rest in Google Cloud.
Cloud Composer archivia i dati in diversi servizi. Ad esempio: utilizza il database Cloud SQL, i DAG vengono archiviati di archiviazione dei bucket Cloud Storage.
Per impostazione predefinita, i dati vengono criptati utilizzando chiavi di crittografia gestite da Google.
Se preferisci, puoi configurare gli ambienti Cloud Composer per criptati con chiavi di crittografia gestite dal cliente.
Accesso uniforme a livello di bucket
Accesso uniforme a livello di bucket ti consente di controllare in modo uniforme l'accesso a Cloud Storage Google Cloud. Questo meccanismo si applica anche al bucket del tuo ambiente, e archivia i tuoi DAG e plug-in.
Autorizzazioni utente
Cloud Composer include diverse funzionalità per la gestione delle autorizzazioni degli utenti:
Ruoli e autorizzazioni IAM. Cloud Composer di ambienti di un progetto Google Cloud sono accessibili solo agli utenti i cui account vengono aggiunti a IAM del progetto.
Ruoli e autorizzazioni specifici di Cloud Composer. Tu assegna questi ruoli e autorizzazioni agli account utente del tuo progetto. Ogni ruolo definisce i tipi operazioni che un account utente può eseguire su Cloud Composer ambienti di lavoro nel tuo progetto.
Controllo dell'accesso all'UI di Airflow. Utenti nel tuo progetto possono avere livelli di accesso diversi nella UI di Airflow. Questo meccanismo è chiamato Controllo dell'accesso all'UI di Airflow (basato su ruoli di Airflow controllo degli accessi o RBAC di Airflow).
Condivisione limitata del dominio (DRS). Cloud Composer supporta Criteri dell'organizzazione relativi alla condivisione limitata per i domini. Se utilizzi questo criterio, solo gli utenti dei domini selezionati potranno per accedere agli ambienti.
Ambienti IP privati
Puoi creare ambienti Cloud Composer in Configurazione di rete con IP privato. È inoltre possibile è possibile passare un ambiente esistente alla rete con IP privato configurazione.
Nella modalità IP privato, i componenti Airflow del tuo ambiente (e quindi il tuo DAG) non hanno accesso alla rete internet pubblica. In base a come per configurare la rete VPC, un ambiente IP privato possono accedere a internet tramite la tua rete VPC.
Il cluster del tuo ambiente utilizza Shielded VM
Le VM schermate sono macchine virtuali (VM) su Google Cloud protette da una un insieme di controlli di sicurezza che contribuiscono alla difesa da rootkit e bootkit.
Gli ambienti Cloud Composer utilizzano VM schermate per l'esecuzione tra i nodi del cluster dell'ambiente.
Funzionalità di sicurezza avanzate
Questa sezione elenca le funzionalità di sicurezza avanzate per Ambienti Cloud Composer.
Chiavi di crittografia gestite dal cliente (CMEK)
Cloud Composer supporta Chiavi di crittografia gestite dal cliente (CMEK). CMEK ti fornisce con un maggiore controllo sulle chiavi utilizzate per criptare i dati at-rest all'interno di un progetto Google Cloud.
Puoi utilizzare CMEK con Cloud Composer per criptare e decriptare i dati generati da un ambiente Cloud Composer.
Supporto dei Controlli di servizio VPC (VPC SC)
Controlli di servizio VPC è un meccanismo per ridurre rischi di esfiltrazione di dati.
Cloud Composer può essere selezionato come servizio sicuro all'interno un perimetro dei Controlli di servizio VPC. Tutte le risorse sottostanti utilizzate da Cloud Composer è configurato per supportare i Controlli di servizio VPC dell'architettura e seguirne le regole. Solo gli ambienti IP privati può essere creato in un perimetro SC VPC.
Deployment Ambienti Cloud Composer con Controlli di servizio VPC che offre:
Riduzione del rischio di esfiltrazione di dati.
Protezione dall'esposizione dei dati dovuta a controlli di accesso configurati in modo errato.
Riduzione del rischio di utenti malintenzionati che copiano i dati in siti non autorizzati Risorse Google Cloud o utenti malintenzionati esterni che accedono delle risorse Google Cloud da internet.
Livelli di controllo dell'accesso di rete (ACL) del server web
Il provisioning dei server web di Airflow in Cloud Composer viene sempre eseguito con un indirizzo IP accessibile dall'esterno. Puoi controllare da quali indirizzi IP è possibile accedere alla UI di Airflow. Cloud Composer supporta IPv4 e Intervalli IPv6.
Puoi configurare le limitazioni di accesso al server web.
nella console Google Cloud, gcloud, API e Terraform.
Secret Manager come spazio di archiviazione per i dati di configurazione sensibili
In Cloud Composer, puoi configurare Airflow per utilizzare Secret Manager come backend in cui sono archiviate le variabili di connessione Airflow.
Gli sviluppatori di DAG possono anche leggere variabili e connessioni Secret Manager dal codice DAG.
Conformità agli standard
Consulta le pagine collegate di seguito per verificare la conformità di Cloud Composer ai vari standard:
- Conformità HIPAA
- Access Transparency
- PCI DSS
- ISO/IEC: 27001, 27017, 27.018
- SOC: SOC 1, SOC 2, SOC 3
- NIST: NIST800-53, NIST800-171
- FedRamp DRZ moderato
- Restrizioni per località/residenza dei dati (guida alla configurazione per Cloud Composer)
Vedi anche
Alcune delle funzioni di sicurezza menzionate in questo articolo sono illustrate nel la presentazione Airflow Summit 2020: Esegui i DAG Airflow in modo sicuro.