Cloud Composer 1 | Cloud Composer 2
Cloud Composer には、セキュリティ要件が厳しい企業にとって有益なセキュリティ機能とコンプライアンスがいくつか用意されています。
次の 3 つのセクションでは、Cloud Composer のセキュリティ機能に関する情報を提供します。
- 基本的なセキュリティ機能。Cloud Composer 環境でデフォルトで使用できる機能について説明します。
- 高度なセキュリティ機能。セキュリティ要件に合わせて Cloud Composer を変更するために使用できる機能について説明します。
- 標準の遵守。Cloud Composer が遵守している標準のリストを示します。
基本的なセキュリティ機能
このセクションでは、各 Cloud Composer 環境でデフォルトで提供されるセキュリティ関連の機能を示します。
保存時の暗号化
Cloud Composer は、Google Cloud における保存データの暗号化を利用します。
Cloud Composer では、データが異なるサービスに保存されます。たとえば、Airflow メタデータ DB では Cloud SQL データベースが使用され、DAG は Cloud Storage バケットに保存されます。
デフォルトで、データは Google が管理する暗号鍵を使用して暗号化されます。
必要に応じて、Cloud Composer 環境は、顧客管理の暗号鍵で暗号化されるように構成できます。
均一なバケットレベルのアクセス
均一なバケットレベルのアクセスを利用すると、Cloud Storage リソースへのアクセスを均一に制御できます。この仕組みは、DAG とプラグインを保存する環境のバケットにも適用されます。
ユーザー権限
Cloud Composer には、ユーザー権限を管理するためのいくつかの機能があります。
IAM のロールと権限。Google Cloud プロジェクト内の Cloud Composer 環境には、プロジェクトの IAM にアカウントを追加されているユーザーのみアクセスできます。
Cloud Composer 固有のロールと権限。プロジェクトのユーザー アカウントにこれらのロールと権限を割り当てます。各ロールは、ユーザー アカウントがプロジェクトの Cloud Composer 環境で実行できるオペレーションの種類を定義します。
Airflow UI のアクセス制御プロジェクトのユーザーは、Airflow UI に異なるアクセスレベルを設定できます。このメカニズムは Airflow UI のアクセス制御(Airflow ロールベースのアクセス制御(Airflow RBAC))と呼ばれます。
ドメインで制限された共有(DRS)。Cloud Composer は、ドメインで制限された共有の組織ポリシーをサポートしています。このポリシーを使用する場合は、選択したドメインのユーザーのみが環境にアクセスできます。
プライベート IP 環境
プライベート IP ネットワーキング構成で Cloud Composer 環境を作成できます。既存の環境をプライベート IP ネットワーキング構成に切り替えることもできます。
プライベート IP モードでは、環境の Airflow コンポーネント(つまり DAG)は公共のインターネットにアクセスできません。VPC ネットワークの構成方法によっては、プライベート IP 環境で VPC ネットワークを介してインターネットにアクセスできます。
環境のクラスタは Shielded VM を使用する
Shielded VM は、ルートキットやブートキットによる攻撃を防御する一連のセキュリティ制御により強化された、Google Cloud 上の仮想マシン(VM)です。
Cloud Composer 環境では、Shielded VM を使用して環境クラスタのノードを実行します。
高度なセキュリティ機能
このセクションでは、Cloud Composer 環境の高度なセキュリティ関連機能について説明します。
顧客管理暗号鍵(CMEK)
Cloud Composer は、顧客管理の暗号鍵(CMEK)をサポートしています。CMEK では、Google Cloud プロジェクト内で保存データの暗号化に使用する鍵をより細かく制御できます。
Cloud Composer で CMEK を使用して、Cloud Composer 環境で生成されたデータを暗号化および復号できます。
VPC Service Controls(VPC SC)のサポート
VPC Service Controls は、データの引き出しのリスクを軽減する仕組みです。
Cloud Composer を VPC Service Controls の境界内の安全なサービスとして選択できます。Cloud Composer で使用されるすべての基盤となるリソースは、VPC Service Controls アーキテクチャをサポートし、そのルールに従うように構成されます。VPC SC 境界内には、プライベート IP 環境のみを作成できます。
VPC Service Controls で Cloud Composer 環境をデプロイすると、次のメリットが得られます。
データ漏洩のリスクの低減。
アクセス制御の構成ミスによるデータ漏洩に対する保護。
悪意のあるユーザーが未承認の Google Cloud リソースにデータをコピーする、または外部の攻撃者がインターネットから Google Cloud リソースにアクセスするリスクの軽減。
ウェブサーバー ネットワークのアクセス制御レベル(ACL)
Cloud Composer の Airflow ウェブサーバーは、常に外部からアクセス可能な IP アドレスでプロビジョニングされます。Airflow UI にアクセスできる IP アドレスは制御できます。Cloud Composer は、IPv4 と IPv6 の範囲をサポートします。
Google Cloud コンソール、gcloud
、API、Terraform でウェブサーバーのアクセス制限を構成できます。
機密性の高い構成データを格納するストレージとしての Secret Manager
Cloud Composer では、Airflow 接続変数が保存されているバックエンドとして Secret Manager を使用するように Airflow を構成できます。
DAG デベロッパーは、DAG コードから Secret Manager に保存されている変数と接続を読み取ることもできます。
標準の遵守
Cloud Composer がさまざまな標準に準拠しているかどうかは、以下のリンク先のページを参照してください。
- HIPAA 準拠
- アクセスの透明性
- PCI DSS
- ISO/IEC: 27001, 27017, 27018
- SOC: SOC 1、 SOC 2、 SOC 3
- NIST: NIST800-53、 NIST800-171
- DRZ FedRamp Moderate
- データ所在地/ロケーションの制限 (Cloud Composer の構成ガイド)
関連情報
この記事で説明するセキュリティ機能の一部は、Airflow Summit 2020 のプレゼンテーションの安全な方法で Airflow DAG を実行するで説明されています。