Visão geral da segurança do Cloud Composer

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

O Cloud Composer tem vários recursos de segurança e conformidade que são benéficos para empresas com requisitos de segurança mais rigorosos.

Estas três seções apresentam informações sobre os recursos de segurança do Cloud Composer:

Recursos básicos de segurança

Nesta seção, há uma lista dos recursos de segurança padrão para cada ambiente do Cloud Composer.

Criptografia em repouso

O Cloud Composer usa criptografia em repouso no Google Cloud.

O Cloud Composer armazena dados em diferentes serviços. Por exemplo, o banco de dados de metadados do Airflow usa o banco de dados do Cloud SQL, e os DAGs são armazenados em buckets do Cloud Storage.

Por padrão, os dados são criptografados por chaves de criptografia gerenciadas pelo Google.

Se preferir, configure os ambientes do Cloud Composer para serem criptografados com chaves de criptografia gerenciadas pelo cliente.

Acesso uniforme no nível do bucket

O acesso uniforme no nível do bucket permite controlar de maneira uniforme o acesso aos recursos do Cloud Storage. Esse mecanismo também se aplica ao bucket do ambiente, que armazena DAGs e plug-ins.

Permissões de usuário

O Cloud Composer tem vários recursos para gerenciar as permissões do usuário:

  • Permissões e papéis do IAM. Os ambientes do Cloud Composer em um projeto do Google Cloud só podem ser acessados por usuários com contas adicionadas ao IAM do projeto.

  • Papéis e permissões específicos do Cloud Composer. Você atribui esses papéis e permissões a contas de usuário no projeto. Cada papel define os tipos de operações que uma conta de usuário pode realizar nos ambientes do Cloud Composer no projeto.

  • Controle de acesso da interface do Airflow. Os usuários do projeto podem ter diferentes níveis de acesso na IU do Airflow. Esse mecanismo é chamado de controle de acesso da interface do Airflow (controle de acesso baseado em função do Airflow, ou RBAC, na sigla em inglês).

  • Compartilhamento restrito de domínio (DRS, na sigla em inglês). O Cloud Composer é compatível com a política organizacional de compartilhamento restrito de domínio. Se você usar essa política, somente usuários dos domínios selecionados poderão acessar seus ambientes.

Ambientes de IP privados

É possível criar ambientes do Cloud Composer na configuração de rede de IP particular. Também é possível alternar um ambiente existente para a configuração de rede de IP particular.

No modo IP privado, os componentes do Airflow do ambiente (e, portanto, os DAGs) não têm acesso à Internet pública. Dependendo de como você configura sua rede VPC, um ambiente de IP particular pode acessar a Internet pela sua rede VPC.

O cluster do ambiente usa VMs protegidas

VMs protegidas são máquinas virtuais (VMs, na sigla em inglês) no Google Cloud que contam com um conjunto de controles de segurança contra rootkits e bootkits.

Os ambientes do Cloud Composer usam VMs protegidas para executar os nós do cluster de ambiente.

Recursos avançados de segurança

Nesta seção, há uma lista recursos avançados de segurança dos ambientes do Cloud Composer.

Chaves de criptografia gerenciadas pelo cliente (CMEK)

O Cloud Composer é compatível com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). As CMEKs permitem controlar melhor as chaves usadas para criptografar dados em repouso em um projeto do Google Cloud.

É possível usar CMEKs com o Cloud Composer para criptografar e descriptografar dados gerados por um ambiente do Cloud Composer.

Suporte do VPC Service Controls (VPC SC)

O VPC Service Controls é um mecanismo para reduzir os riscos de exfiltração de dados.

O Cloud Composer agora pode ser selecionado como um serviço seguro dentro de um perímetro do VPC Service Controls. Todos os recursos subjacentes usados pelo Cloud Composer estão configurados para serem compatíveis com a arquitetura do VPC Service Controls e seguem as regras dela. Somente ambientes de IP privado podem ser criados em um perímetro do VPC SC.

A implantação dos ambientes do Cloud Composer com o VPC Service Controls oferece:

  • Risco reduzido de exfiltração de dados.

  • Proteção contra exposição de dados devido a controles de acesso configurados incorretamente.

  • Risco reduzido de usuários mal-intencionados copiarem dados para recursos não autorizados do Google Cloud ou invasores externos acessarem recursos do Google Cloud pela Internet.

Níveis de controle de acess (ACL) à rede do servidor da Web

Os servidores da Web do Airflow no Cloud Composer são sempre provisionados com um endereço IP acessível externamente. É possível controlar de quais endereços IP a IU do Airflow pode ser acessada. O Cloud Composer é compatível com intervalos IPv4 e IPv6.

Você pode configurar restrições de acesso ao servidor da Web. no console do Google Cloud, no gcloud, na API e no Terraform.

Secret Manager como armazenamento para dados de configuração confidenciais

No Cloud Composer, é possível configurar o Airflow para usar o Secret Manager como um back-end em que as variáveis de conexão do Airflow são armazenadas.

Os desenvolvedores do DAG também podem ler variáveis e conexões armazenadas no Secret Manager no código do DAG.

Conformidade com os padrões

Consulte os links abaixo para verificar a conformidade do Cloud Composer com vários padrões:

Consulte também

Alguns dos recursos de segurança mencionados neste artigo são discutidos na apresentação Airflow Summit 2020: Executar DAGs do Airflow de maneira segura.

A seguir