Información general sobre la seguridad de Cloud Composer

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

Cloud Composer ofrece una serie de funciones de seguridad y cumplimientos que son útiles para las empresas con requisitos de seguridad más estrictos.

En estas tres secciones se ofrece información sobre las funciones de seguridad de Cloud Composer:

Funciones de seguridad básicas

En esta sección se enumeran las funciones relacionadas con la seguridad que se proporcionan de forma predeterminada en cada entorno de Cloud Composer.

Encriptado en reposo

Cloud Composer utiliza el cifrado en reposo Google Cloud.

Cloud Composer almacena datos en diferentes servicios. Por ejemplo, la base de datos de metadatos de Airflow usa la base de datos de Cloud SQL y los DAGs se almacenan en segmentos de Cloud Storage.

De forma predeterminada, los datos se cifran con Google-owned and Google-managed encryption keys.

Si lo prefieres, puedes configurar los entornos de Cloud Composer para que se cifren con claves de cifrado gestionadas por el cliente.

Acceso uniforme a nivel de segmento

El acceso uniforme a nivel de segmento te permite controlar de manera uniforme el acceso a tus recursos de Cloud Storage. Este mecanismo también se aplica al segmento de tu entorno, que almacena tus DAGs y complementos.

Permisos de usuario

Cloud Composer tiene varias funciones para gestionar los permisos de los usuarios:

  • Roles y permisos de IAM. Solo pueden acceder a los entornos de Cloud Composer de un Google Cloud proyecto los usuarios cuyas cuentas se hayan añadido a la gestión de identidades y accesos del proyecto.

  • Roles y permisos específicos de Cloud Composer. Asigna estos roles y permisos a las cuentas de usuario de tu proyecto. Cada rol define los tipos de operaciones que una cuenta de usuario puede realizar en los entornos de Cloud Composer de su proyecto.

  • Control de acceso a la interfaz de usuario de Airflow. Los usuarios de tu proyecto pueden tener diferentes niveles de acceso en la interfaz de usuario de Airflow. Este mecanismo se denomina control de acceso a la interfaz de usuario de Airflow (control de acceso basado en roles de Airflow o RBAC de Airflow).

  • Uso compartido restringido al dominio (DRS). Cloud Composer admite la política de organización de uso compartido restringido al dominio. Si usas esta política, solo los usuarios de los dominios seleccionados podrán acceder a tus entornos.

Entornos de IP privada

Puedes crear entornos de Cloud Composer en la configuración de redes de IP privada. También es posible cambiar un entorno a la configuración de redes con IP privada.

En el modo de IP privada, los componentes de Airflow de tu entorno (y, por lo tanto, tus DAGs) no tienen acceso a Internet público. En función de cómo configures tu red VPC, un entorno de IP privada puede acceder a Internet a través de tu red VPC.

Tu clúster usa VMs blindadas

Las VMs blindadas son máquinas virtuales (VMs) de Google Cloud endurecidas con un conjunto de controles de seguridad que te permiten defenderte de rootkits y bootkits.

Los entornos de Cloud Composer usan máquinas virtuales blindadas para ejecutar los nodos de su clúster de entorno.

Funciones de seguridad avanzadas

En esta sección se enumeran las funciones avanzadas relacionadas con la seguridad de los entornos de Cloud Composer.

Claves de encriptado gestionadas por el cliente (CMEK)

Cloud Composer admite claves de cifrado gestionadas por el cliente (CMEK). Las CMEK te ofrecen más control sobre las claves que se usan para cifrar los datos en reposo de un Google Cloud proyecto.

Puedes usar CMEK con Cloud Composer para cifrar y descifrar datos generados por un entorno de Cloud Composer.

Compatibilidad con Controles de Servicio de VPC

Controles de Servicio de VPC es un mecanismo para mitigar los riesgos de filtración externa de datos.

Cloud Composer se puede seleccionar como servicio seguro dentro de un perímetro de Controles de Servicio de VPC. Todos los recursos subyacentes que usa Cloud Composer están configurados para admitir la arquitectura de Controles de Servicio de VPC y seguir sus reglas. Solo se pueden crear entornos de IP privada en un perímetro de los controles de servicio de VPC.

Si implementas entornos de Cloud Composer con Controles de Servicio de VPC, obtendrás lo siguiente:

  • Se reduce el riesgo de filtración externa de datos.

  • Protección frente a la exposición de datos debido a controles de acceso mal configurados.

  • Se reduce el riesgo de que usuarios malintencionados copien datos en recursos no autorizados o de que atacantes externos accedan a recursos desde Internet.Google Cloud Google Cloud

Niveles de control de acceso a la red del servidor web (LCA)

Los servidores web de Airflow en Cloud Composer siempre se aprovisionan con una dirección IP accesible externamente. Puedes controlar desde qué direcciones IP se puede acceder a la interfaz de usuario de Airflow. Cloud Composer admite intervalos IPv4 e IPv6.

Puedes configurar restricciones de acceso al servidor web en la consola de Google Cloud , gcloud, la API y Terraform.

Secret Manager como almacenamiento de datos de configuración sensibles

En Cloud Composer, puedes configurar Airflow para que use Secret Manager como backend donde se almacenan las variables de conexión de Airflow.

Los desarrolladores de DAGs también pueden leer variables y conexiones almacenadas en Secret Manager desde el código del DAG.

Cumplimiento de los estándares

Consulta las páginas enlazadas a continuación para comprobar el cumplimiento de Cloud Composer con varios estándares:

Consulta también

Algunas de las funciones de seguridad mencionadas en este artículo se tratan en la presentación de la cumbre de Airflow del 2020: Ejecutar DAGs de Airflow de forma segura.

Siguientes pasos