Panoramica sulla sicurezza di Cloud Composer

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Cloud Composer offre alcune funzionalità di sicurezza e conformità che sono vantaggiose per le aziende aziendali con requisiti di sicurezza più rigidi.

Queste tre sezioni presentano informazioni sulle funzionalità di sicurezza di Cloud Composer:

Funzionalità di sicurezza di base

Questa sezione elenca le funzionalità relative alla sicurezza fornite per impostazione predefinita per ogni ambiente Cloud Composer.

Crittografia at-rest

Cloud Composer utilizza la crittografia at-rest in Google Cloud.

Cloud Composer archivia i dati in diversi servizi. Ad esempio, il database dei metadati di Airflow utilizza il database Cloud SQL e i DAG vengono archiviati nei bucket Cloud Storage.

Per impostazione predefinita, i dati vengono criptati utilizzando chiavi di crittografia gestite da Google.

Se preferisci, puoi configurare gli ambienti Cloud Composer per la crittografia con chiavi di crittografia gestite dal cliente.

Accesso uniforme a livello di bucket

L'accesso uniforme a livello di bucket ti consente di controllare in modo uniforme l'accesso alle risorse di Cloud Storage. Questo meccanismo si applica anche al bucket del tuo ambiente, che archivia i DAG e i plug-in.

Autorizzazioni utente

Cloud Composer include diverse funzionalità per la gestione delle autorizzazioni degli utenti:

  • Ruoli e autorizzazioni IAM. Gli ambienti Cloud Composer in un progetto Google Cloud sono accessibili solo agli utenti i cui account vengono aggiunti a IAM del progetto.

  • Ruoli e autorizzazioni specifici di Cloud Composer. Devi assegnare questi ruoli e autorizzazioni agli account utente nel tuo progetto. Ogni ruolo definisce i tipi di operazioni che un account utente può eseguire sugli ambienti Cloud Composer nel progetto.

  • Controllo dell'accesso all'UI di Airflow. Gli utenti del tuo progetto possono avere diversi livelli di accesso nella UI di Airflow. Questo meccanismo è chiamato controllo dell'accesso all'interfaccia utente di Airflow (controllo degli accessi basato sui ruoli di Airflow o RBAC di Airflow).

  • Condivisione limitata del dominio (DRS). Cloud Composer supporta i criteri dell'organizzazione relativi alla condivisione limitata per i domini. Se utilizzi questo criterio, solo gli utenti dei domini selezionati potranno accedere ai tuoi ambienti.

Ambienti IP privati

Puoi creare ambienti Cloud Composer nella configurazione di rete con IP privato. È inoltre possibile passare un ambiente esistente alla configurazione di networking con IP privati.

In modalità IP privato, i componenti Airflow del tuo ambiente (e quindi i tuoi DAG) non hanno accesso alla rete internet pubblica. A seconda di come configuri la tua rete VPC, un ambiente IP privato può accedere a internet tramite la tua rete VPC.

Il cluster del tuo ambiente utilizza Shielded VM

Le VM schermate sono macchine virtuali (VM) su Google Cloud protette da un set di controlli di sicurezza che contribuiscono alla difesa da rootkit e bootkit.

Gli ambienti Cloud Composer utilizzano VM schermate per eseguire i nodi del cluster dell'ambiente.

Funzionalità di sicurezza avanzate

Questa sezione elenca le funzionalità avanzate relative alla sicurezza per gli ambienti Cloud Composer.

Chiavi di crittografia gestite dal cliente (CMEK)

Cloud Composer supporta le chiavi di crittografia gestite dal cliente (CMEK). CMEK offre un maggiore controllo sulle chiavi utilizzate per criptare i dati at-rest all'interno di un progetto Google Cloud.

Puoi utilizzare CMEK con Cloud Composer per criptare e decriptare i dati generati da un ambiente Cloud Composer.

Supporto dei Controlli di servizio VPC (VPC SC)

Controlli di servizio VPC è un meccanismo per mitigare i rischi di esfiltrazione di dati.

Cloud Composer può essere selezionato come servizio sicuro all'interno di un perimetro dei Controlli di servizio VPC. Tutte le risorse sottostanti utilizzate da Cloud Composer sono configurate per supportare l'architettura dei Controlli di servizio VPC e seguirne le regole. Solo gli ambienti IP privati possono essere creati in un perimetro SC VPC.

Il deployment di ambienti Cloud Composer con Controlli di servizio VPC offre:

  • Riduzione del rischio di esfiltrazione di dati.

  • Protezione dall'esposizione dei dati dovuta a controlli di accesso configurati in modo errato.

  • Riduzione del rischio di utenti malintenzionati che copiano dati in risorse Google Cloud non autorizzate o di utenti malintenzionati esterni che accedono alle risorse di Google Cloud da internet.

Livelli di controllo dell'accesso di rete (ACL) del server web

Il provisioning dei server web Airflow in Cloud Composer viene sempre eseguito con un indirizzo IP accessibile dall'esterno. Puoi controllare da quali indirizzi IP è possibile accedere alla UI di Airflow. Cloud Composer supporta gli intervalli IPv4 e IPv6.

Puoi configurare le limitazioni di accesso al server web nella console Google Cloud, in gcloud, nell'API e in Terraform.

Secret Manager come spazio di archiviazione per i dati di configurazione sensibili

In Cloud Composer, puoi configurare Airflow per utilizzare Secret Manager come backend in cui sono archiviate le variabili di connessione di Airflow.

Gli sviluppatori di DAG possono anche leggere le variabili e le connessioni archiviate in Secret Manager dal codice DAG.

Conformità agli standard

Consulta le pagine collegate di seguito per verificare la conformità di Cloud Composer ai vari standard:

Vedi anche

Alcune delle funzionalità di sicurezza menzionate in questo articolo sono discusse nella presentazione dell'Airflow Summit 2020: Esegui i DAG Airflow in modo sicuro.

Passaggi successivi