Descripción general de la seguridad de Cloud Composer

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Cloud Composer ofrece algunos cumplimientos y características de seguridad que son beneficiosos para empresas empresariales con requisitos de seguridad más estrictos.

En estas tres secciones, se presenta información sobre Cloud Composer funciones de seguridad:

Funciones básicas de seguridad

En esta sección, se enumeran las características de seguridad relacionadas con la configuración predeterminada de cada entorno de Cloud Composer.

Encriptación en reposo

Cloud Composer usa encriptación en reposo en Google Cloud.

Cloud Composer almacena datos en diferentes servicios. Por ejemplo: la base de datos de metadatos de Airflow usa la base de datos de Cloud SQL, los DAG se almacenan en buckets de Cloud Storage.

De forma predeterminada, los datos se encriptan con claves de encriptación administradas por Google.

Si lo prefieres, puedes configurar entornos de Cloud Composer para que sean encriptada con claves de encriptación administradas por el cliente.

Acceso uniforme a nivel de bucket

Acceso uniforme a nivel de bucket te permite controlar de manera uniforme el acceso a tu Cloud Storage de Google Cloud. Este mecanismo también se aplica al bucket de tu entorno, que almacena tus DAG y complementos.

Permisos de usuario

Cloud Composer tiene varias funciones para administrar los permisos del usuario:

  • Funciones y permisos de IAM. Cloud Composer en un proyecto de Google Cloud solo pueden acceder los usuarios cuyas cuentas se agreguen a la IAM del proyecto.

  • Funciones y permisos específicos de Cloud Composer. Tú asignar esos roles y permisos a las cuentas de usuario del proyecto. Cada rol define los tipos de operaciones que una cuenta de usuario puede realizar en Cloud Composer entornos en tu proyecto.

  • Control de acceso a la IU de Airflow. Usuarios de tu proyecto pueden tener diferentes niveles de acceso en la IU de Airflow. Este mecanismo se denomina control de acceso a la IU de Airflow (basado en la función de Airflow) Control de acceso o RBAC de Airflow).

  • Uso Compartido Restringido al Dominio (DRS). Cloud Composer admite Política de la organización de Uso compartido restringido al dominio. Si usas esta política, solo los usuarios de los dominios seleccionados podrán acceder a tus entornos.

Entornos de IP privada

Puedes crear entornos de Cloud Composer Configuración de red de IP privada. También se usa es posible cambiar un entorno existente a la red de IP privada configuración.

En el modo de IP privada, los componentes de Airflow de tu entorno (y, por lo tanto, tu DAG) no tienen acceso a la Internet pública. Según cómo configura tu red de VPC, un entorno de IP privada puedan acceder a Internet a través de tu red de VPC.

El clúster de tu entorno usa VMs protegidas

Las VM protegidas son máquinas virtuales (VM) de Google Cloud endurecidas con un conjunto de controles de seguridad destinados a protegerlas de los rootkits y bootkits.

Los entornos de Cloud Composer usan VMs protegidas para ejecutarse los nodos del clúster de su entorno.

Funciones de seguridad avanzadas

En esta sección, se enumeran las funciones avanzadas de seguridad para Entornos de Cloud Composer.

Claves de encriptación administradas por el cliente (CMEK)

Cloud Composer admite Claves de encriptación administradas por el cliente (CMEK). Las CMEK te proporcionan con más control sobre las claves que se usan para encriptar los datos en reposo un proyecto de Google Cloud.

Puedes usar CMEK con Cloud Composer para realizar las siguientes acciones: Encriptar y desencriptar datos generados por un entorno de Cloud Composer

Compatibilidad con los Controles del servicio de VPC (VPC SC)

Los Controles del servicio de VPC son un mecanismo para mitigar riesgos de robo de datos.

Cloud Composer se puede seleccionar como un servicio seguro en un perímetro de Controles del servicio de VPC. Todos los recursos subyacentes utilizados por Cloud Composer está configurado para admitir los Controles del servicio de VPC arquitectura y seguir sus reglas. Solo entornos de IP privada pueden crearse en un perímetro de VPC SC.

Implementar entornos de Cloud Composer con los Controles del servicio de VPC te proporciona lo siguiente:

  • Reducción del riesgo de robo de datos

  • Protección contra la exposición de datos debido a controles de acceso mal configurados

  • Reducción del riesgo de que usuarios maliciosos copien datos a recursos no autorizados de Google Cloud, o ante atacantes externos que acceden a recursos de Google Cloud desde Internet.

Niveles de control de acceso a la red (LCA) del servidor web

Los servidores web de Airflow en Cloud Composer siempre se aprovisionan con una dirección IP accesible de forma externa. Puedes controlar desde qué direcciones IP se puede acceder a la IU de Airflow. Cloud Composer admite IPv4 y Rangos de IPv6.

Puedes configurar las restricciones de acceso del servidor web. en la consola de Google Cloud, gcloud, la API y Terraform.

Secret Manager como almacenamiento para datos de configuración sensibles

En Cloud Composer, puedes Configura Airflow para usar Secret Manager como un backend en el que se almacenan las variables de conexión de Airflow.

Los desarrolladores de DAG también pueden leer variables y conexiones almacenadas en Secret Manager del código de DAG.

Cumplimiento de los estándares

Consulta las páginas vinculadas a continuación para verificar el cumplimiento de Cloud Composer con varios estándares:

También consulta lo siguiente:

Algunas de las funciones de seguridad mencionadas en este artículo se analizan en el la presentación de la Cumbre de Airflow de 2020: Ejecuta DAG de Airflow de forma segura.

¿Qué sigue?