Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Cloud Composer bietet eine Reihe von Sicherheitsfeatures und Compliances, die für Unternehmen mit strengeren Sicherheitsanforderungen vorteilhaft sind.
Die folgenden drei Abschnitte enthalten Informationen zu den Cloud Composer-Sicherheitsfeatures:
- Grundlegende Sicherheitsfunktionen Beschreibt Funktionen, die in Cloud Composer-Umgebungen standardmäßig verfügbar sind.
- Erweiterte Sicherheitsfunktionen. Beschreibt Features, mit denen Sie Cloud Composer an Ihre Sicherheitsanforderungen ändern können.
- Compliance mit Standards. Bietet eine Liste mit Standards, die Cloud Composer erfüllt.
Grundlegende Sicherheitsfunktionen
In diesem Abschnitt werden sicherheitsrelevante Features aufgeführt, die standardmäßig für jede Cloud Composer-Umgebung bereitgestellt werden.
Verschlüsselung inaktiver Daten
Cloud Composer nutzt die Verschlüsselung inaktiver Daten in Google Cloud.
Cloud Composer speichert Daten in verschiedenen Diensten. Die Airflow-Metadatendatenbank verwendet beispielsweise die Cloud SQL-Datenbank. DAGs werden in Cloud Storage-Buckets gespeichert.
Standardmäßig werden Daten mit von Google verwalteten Verschlüsselungsschlüsseln verschlüsselt.
Wenn Sie möchten, können Sie Cloud Composer-Umgebungen so konfigurieren, dass sie mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsselt werden.
Einheitlicher Zugriff auf Bucket-Ebene
Mit dem einheitlichen Zugriff auf Bucket-Ebene können Sie den Zugriff auf Ihre Cloud Storage-Ressourcen einheitlich steuern. Dieser Mechanismus gilt auch für den Bucket Ihrer Umgebung, in dem Ihre DAGs und Plug-ins gespeichert werden.
Nutzerberechtigungen
Cloud Composer bietet verschiedene Features zum Verwalten von Nutzerberechtigungen:
IAM-Rollen und -Berechtigungen Auf Cloud Composer-Umgebungen in einem Google Cloud-Projekt kann nur von Nutzern zugegriffen werden, deren Konten zu IAM des Projekts hinzugefügt wurden.
Cloud Composer-spezifische Rollen und Berechtigungen Sie weisen diese Rollen und Berechtigungen den Nutzerkonten in Ihrem Projekt zu. Jede Rolle definiert die Arten von Vorgängen, die ein Nutzerkonto für Cloud Composer-Umgebungen im Projekt ausführen kann.
Zugriffssteuerung in der Airflow-Benutzeroberfläche Nutzer in Ihrem Projekt können in der Airflow-UI unterschiedliche Zugriffsebenen haben. Dieser Mechanismus wird als Airflow-UI-Zugriffssteuerung (Airflow Role-Based Access Control, Airflow RBAC) bezeichnet.
Domaineingeschränkte Freigabe (DRS). Cloud Composer unterstützt die Organisationsrichtlinie für die domaineingeschränkte Freigabe. Wenn Sie diese Richtlinie verwenden, können nur Nutzer aus den ausgewählten Domains auf Ihre Umgebungen zugreifen.
Private IP-Umgebungen
Sie können Cloud Composer-Umgebungen in der Konfiguration des Netzwerks für private IP-Adressen erstellen. Es ist auch möglich, eine vorhandene Umgebung auf die Konfiguration des Netzwerks für private IP-Adressen umzustellen.
Im privaten IP-Modus werden Airflow-Komponenten Ihrer Umgebung (und damit Ihre DAGs) keinen Zugriff auf das öffentliche Internet. Je nachdem, wie Sie Konfigurieren Sie Ihr VPC-Netzwerk, eine Umgebung mit privater IP-Adresse. über Ihr VPC-Netzwerk Zugriff auf das Internet.
Der Cluster Ihrer Umgebung verwendet Shielded VMs
Shielded VMs sind virtuelle Maschinen (VMs) in Google Cloud, die durch eine Reihe von Sicherheitsfunktionen gegen Rootkits und Bootkits geschützt werden.
Cloud Composer-Umgebungen verwenden für die Ausführung Shielded VMs die Knoten ihres Umgebungsclusters.
Erweiterte Sicherheitsfeatures
In diesem Abschnitt werden erweiterte sicherheitsrelevante Features für Cloud Composer-Umgebungen aufgeführt.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Cloud Composer unterstützt vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK). Mit CMEK haben Sie mehr Kontrolle über die Schlüssel, die zum Verschlüsseln inaktiver Daten in einem Google Cloud-Projekt verwendet werden.
Sie können CMEK mit Cloud Composer verwenden, um von einer Cloud Composer-Umgebung generierte Daten zu verschlüsseln und zu entschlüsseln.
Unterstützung von VPC Service Controls (VPC SC)
VPC Service Controls ist ein Mechanismus, um das Risiko der Daten-Exfiltrierung zu verringern.
Cloud Composer kann als sicherer Dienst innerhalb von VPC Service Controls-Perimetern ausgewählt werden. Alle von Cloud Composer verwendeten unterliegenden Ressourcen sind so konfiguriert, dass sie die VPC Service Controls-Architektur unterstützen und den relevanten Regeln entsprechen. In einem VPC-SC-Perimeter können nur private IP-Umgebungen erstellt werden.
Ihre Vorteile bei der Bereitstellung von Cloud Composer-Umgebungen mit VPC Service Controls sind:
Geringeres Risiko der Daten-Exfiltration.
Schutz vor Datenweitergabe aufgrund falsch konfigurierter Zugriffskontrollen.
Reduziertes Risiko, dass böswillige Nutzer Daten in nicht autorisierte Google Cloud-Ressourcen kopieren oder dass externe Angreifer über das Internet auf Google Cloud-Ressourcen zugreifen.
Webserver-Netzwerkzugriffssteuerungsebenen (ACL)
Airflow-Webserver in Cloud Composer werden immer mit einer extern zugänglichen IP-Adresse bereitgestellt. Sie können steuern, von welchen IP-Adressen aus die Airflow-UI aufgerufen werden kann. Cloud Composer unterstützt Bereiche wie IPv4 und IPv6.
Sie können Zugriffsbeschränkungen für Webserver konfigurieren.
in der Google Cloud Console, gcloud
, der API und Terraform.
Secret Manager als Speicher für sensible Konfigurationsdaten
In Cloud Composer können Sie Airflow so konfigurieren, dass Secret Manager als Backend verwendet wird, in dem Airflow-Verbindungsvariablen gespeichert sind.
DAG-Entwickler können auch Variablen und eine Verbindung lesen, die in Secret Manager aus dem DAG-Code gespeichert sind.
Compliance nach Standards
Auf den folgenden Seiten finden Sie Links zu den Compliance-Anforderungen von Cloud Composer:
- HIPAA-Compliance
- Access Transparency
- PCI DSS
- ISO/IEC: 27001, 27017, 27018
- SOC: SOC 1, SOC 2, SOC 3
- NIST: NIST800-53, NIST800-171
- DRZ FedRamp Moderate
- Datenstandort-/Standortbeschränkungen (Konfigurationsanleitung für Cloud Composer)
Weitere Informationen
Einige der in diesem Artikel erwähnten Sicherheitsfunktionen werden in der Präsentation Airflow 2020 erläutert: Airflow-DAGs sicher ausführen.