Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Cloud Composer menawarkan beberapa fitur keamanan dan kepatuhan yang bermanfaat bagi perusahaan perusahaan dengan persyaratan keamanan.
Ketiga bagian ini menyajikan informasi tentang Cloud Composer fitur keamanan:
- Fitur keamanan dasar. Menjelaskan fitur yang tersedia di lingkungan Cloud Composer secara default.
- Fitur keamanan lanjutan. Menjelaskan fitur yang Anda dapat digunakan untuk memodifikasi Cloud Composer sesuai persyaratan keamanan Anda.
- Kepatuhan terhadap standar. Memberikan daftar standar yang yang mematuhi Cloud Composer.
Fitur keamanan dasar
Bagian ini mencantumkan fitur terkait keamanan yang disediakan secara default untuk setiap lingkungan Cloud Composer.
Enkripsi dalam penyimpanan
Cloud Composer memanfaatkan enkripsi dalam penyimpanan di Google Cloud.
Cloud Composer menyimpan data di berbagai layanan. Misalnya, DB Metadata Airflow menggunakan database Cloud SQL, DAG disimpan di bucket Cloud Storage.
Secara default, data dienkripsi menggunakan kunci enkripsi yang dikelola Google.
Jika ingin, Anda dapat mengonfigurasi lingkungan Cloud Composer agar dienkripsi dengan kunci enkripsi yang dikelola pelanggan.
Akses level bucket yang seragam
Akses level bucket seragam memungkinkan Anda mengontrol akses ke Cloud Storage secara seragam Google Cloud Platform. Mekanisme ini juga berlaku untuk bucket lingkungan Anda, yang menyimpan DAG dan plugin.
Izin pengguna
Cloud Composer memiliki beberapa fitur untuk mengelola izin pengguna:
Peran dan izin IAM. Cloud Composer lingkungan dalam project Google Cloud hanya dapat diakses oleh pengguna yang akunnya ditambahkan ke IAM project.
Peran dan izin khusus Cloud Composer. Anda menetapkan peran dan izin ini ke akun pengguna di proyek Anda. Setiap peran mendefinisikan jenis operasi yang dapat dijalankan akun pengguna di Cloud Composer dalam project Anda.
Kontrol Akses UI Airflow. Pengguna di project Anda dapat memiliki tingkat akses yang berbeda di UI Airflow. Mekanisme ini disebut Airflow UI Access Control (Airflow Role-Based Control Access Control, atau Airflow RBAC).
Berbagi yang Dibatasi Domain (DRS). Cloud Composer mendukung Kebijakan organisasi terkait Berbagi yang Dibatasi Domain. Jika Anda menggunakan kebijakan ini, hanya pengguna dari domain yang dipilih yang dapat mengakses lingkungan Anda.
Lingkungan IP pribadi
Anda dapat membuat lingkungan Cloud Composer di Konfigurasi jaringan IP pribadi. Ini juga cara mengalihkan lingkungan yang ada ke jaringan IP Pribadi konfigurasi Anda.
Dalam mode IP Pribadi, komponen Airflow lingkungan Anda (dan dengan demikian DAG) tidak memiliki akses ke internet publik. Tergantung bagaimana Anda mengonfigurasi jaringan VPC Anda, lingkungan IP Pribadi dapat mengakses internet melalui jaringan VPC Anda.
Cluster lingkungan Anda menggunakan Shielded VM
Shielded VM adalah virtual machine (VM) di Google Cloud yang telah melalui proses hardening oleh seperangkat kontrol keamanan yang membantu bertahan dari {i>rootkit<i} dan {i>bootkit<i}.
Lingkungan Cloud Composer menggunakan Shielded VM untuk menjalankan node cluster lingkungannya.
Fitur keamanan lanjutan
Bagian ini mencantumkan fitur lanjutan terkait keamanan untuk lingkungan Cloud Composer.
Kunci Enkripsi yang Dikelola Pelanggan (CMEK)
Cloud Composer mendukung Kunci Enkripsi yang Dikelola Pelanggan (CMEK). CMEK memberi Anda dengan kontrol yang lebih besar atas kunci yang digunakan untuk mengenkripsi data dalam penyimpanan project Google Cloud.
Anda dapat menggunakan CMEK dengan Cloud Composer untuk mengenkripsi dan mendekripsi data yang dihasilkan oleh lingkungan Cloud Composer.
Dukungan Kontrol Layanan VPC (VPC SC)
Kontrol Layanan VPC adalah mekanisme untuk memitigasi risiko pemindahan data yang tidak sah.
Cloud Composer dapat dipilih sebagai layanan yang aman di dalam perimeter Kontrol Layanan VPC. Semua resource pokok yang digunakan oleh Cloud Composer dikonfigurasi untuk mendukung Kontrol Layanan VPC arsitektur dan mengikuti aturannya. Hanya lingkungan Private IP dapat dibuat di perimeter VPC SC.
Men-deploy Lingkungan Cloud Composer dengan Kontrol Layanan VPC akan memberi Anda:
Mengurangi risiko pemindahan data yang tidak sah.
Perlindungan terhadap eksposur data karena konfigurasi kontrol akses yang salah.
Mengurangi risiko pengguna berbahaya menyalin data ke file yang tidak diizinkan Resource Google Cloud, atau penyerang eksternal yang mengakses resource Google Cloud dari internet.
Tingkat kontrol akses jaringan (ACL) server web
Server web Airflow di Cloud Composer selalu disediakan dengan alamat IP yang dapat diakses secara eksternal. Anda dapat mengontrol dari alamat IP mana UI Airflow dapat diakses. Cloud Composer mendukung IPv4 dan Rentang IPv6.
Anda dapat mengonfigurasi pembatasan akses server web
di konsol Google Cloud, gcloud
, API, dan Terraform.
Secret Manager sebagai penyimpanan untuk data konfigurasi yang sensitif
Di Cloud Composer, Anda dapat mengonfigurasi Airflow untuk menggunakan Secret Manager sebagai backend tempat variabel koneksi Airflow disimpan.
Developer DAG juga dapat membaca variabel dan koneksi yang disimpan di Secret Manager dari kode DAG.
Kepatuhan terhadap standar
Lihat halaman yang ditautkan di bawah untuk memeriksa kepatuhan Cloud Composer terhadap berbagai standar:
- Kepatuhan terhadap HIPAA
- Transparansi Akses
- PCI DSS
- ISO/IEC: 27.001, 27.017, 27.018
- SOC: SOC 1, SOC 2, SOC 3
- NIST: NIST800-53, NIST800-171
- FedRamp DRZ Sedang
- Residensi Data/Pembatasan Lokasi (panduan konfigurasi untuk Cloud Composer)
Lihat juga
Beberapa fitur keamanan yang disebutkan dalam artikel ini dibahas dalam presentasi Airflow Summit 2020: Jalankan DAG Airflow dengan cara yang aman.