Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
O Cloud Composer tem vários recursos de segurança e conformidade que são benéficos para empresas com requisitos de segurança mais rigorosos.
Estas três seções apresentam informações sobre os recursos de segurança do Cloud Composer:
- Recursos básicos de segurança. Descreve os recursos disponíveis nos ambientes do Cloud Composer por padrão.
- Recursos avançados de segurança. Descreve os recursos que podem ser usados para modificar o Cloud Composer de acordo com seus requisitos de segurança.
- Conformidade com os padrões. Fornece uma lista de padrões compatíveis com o Cloud Composer.
Recursos básicos de segurança
Nesta seção, há uma lista dos recursos de segurança padrão para cada ambiente do Cloud Composer.
Criptografia em repouso
O Cloud Composer usa criptografia em repouso no Google Cloud.
O Cloud Composer armazena dados em diferentes serviços. Por exemplo, o banco de dados de metadados do Airflow usa o banco de dados do Cloud SQL, e os DAGs são armazenados em buckets do Cloud Storage.
Por padrão, os dados são criptografados por chaves de criptografia gerenciadas pelo Google.
Se preferir, configure os ambientes do Cloud Composer para serem criptografados com chaves de criptografia gerenciadas pelo cliente.
Acesso uniforme no nível do bucket
O acesso uniforme no nível do bucket permite controlar de maneira uniforme o acesso aos recursos do Cloud Storage. Esse mecanismo também se aplica ao bucket do ambiente, que armazena DAGs e plug-ins.
Permissões de usuário
O Cloud Composer tem vários recursos para gerenciar as permissões do usuário:
Permissões e papéis do IAM. Os ambientes do Cloud Composer em um projeto do Google Cloud só podem ser acessados por usuários com contas adicionadas ao IAM do projeto.
Papéis e permissões específicos do Cloud Composer. Você atribui esses papéis e permissões a contas de usuário no projeto. Cada papel define os tipos de operações que uma conta de usuário pode realizar nos ambientes do Cloud Composer no projeto.
Controle de acesso à IU do Airflow. Os usuários do projeto podem ter diferentes níveis de acesso na IU do Airflow. Esse mecanismo é chamado de "Controle de acesso à interface do Airflow" (Airflow baseado em papéis controle de acesso ou RBAC do Airflow).
Compartilhamento restrito de domínio (DRS, na sigla em inglês). O Cloud Composer é compatível com a política organizacional de compartilhamento restrito de domínio. Se você usar essa política, somente usuários dos domínios selecionados poderão acessar seus ambientes.
Ambientes de IP privados
É possível criar ambientes do Cloud Composer na configuração de rede do IP privado.
No modo IP privado, os nós do cluster do ambiente não têm endereços IP externo e não se comunicam pela Internet pública.
O cluster do ambiente usa VMs protegidas
VMs protegidas são máquinas virtuais (VMs, na sigla em inglês) no Google Cloud que contam com um conjunto de controles de segurança contra rootkits e bootkits.
Os ambientes do Cloud Composer 1 criados com base nas versões 1.18 e posteriores do GKE usam VMs protegidas para executar os nós do cluster de ambiente.
Recursos avançados de segurança
Nesta seção, há uma lista recursos avançados de segurança dos ambientes do Cloud Composer.
Chaves de criptografia gerenciadas pelo cliente (CMEK)
O Cloud Composer é compatível com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). As CMEKs permitem controlar melhor as chaves usadas para criptografar dados em repouso em um projeto do Google Cloud.
É possível usar CMEKs com o Cloud Composer para criptografar e descriptografar dados gerados por um ambiente do Cloud Composer.
Suporte do VPC Service Controls (VPC SC)
O VPC Service Controls é um mecanismo para reduzir os riscos de exfiltração de dados.
O Cloud Composer agora pode ser selecionado como um serviço seguro dentro de um perímetro do VPC Service Controls. Todos os recursos subjacentes usados pelo Cloud Composer estão configurados para serem compatíveis com a arquitetura do VPC Service Controls e seguem as regras dela. Somente ambientes de IP privado podem ser criados em um perímetro do VPC SC.
A implantação dos ambientes do Cloud Composer com o VPC Service Controls oferece:
Risco reduzido de exfiltração de dados.
Proteção contra exposição de dados devido a controles de acesso configurados incorretamente.
Risco reduzido de usuários mal-intencionados copiarem dados para recursos não autorizados do Google Cloud ou invasores externos acessarem recursos do Google Cloud pela Internet.
Níveis de controle de acess (ACL) à rede do servidor da Web
Os servidores da Web do Airflow no Cloud Composer são sempre provisionados com um endereço IP acessível externamente. É possível controlar de quais endereços IP a IU do Airflow pode ser acessada. O Cloud Composer é compatível com intervalos IPv4 e IPv6.
Você pode configurar restrições de acesso ao servidor da Web.
no console do Google Cloud, no gcloud
, na API e no Terraform.
Secret Manager como armazenamento para dados de configuração confidenciais
No Cloud Composer, é possível configurar o Airflow para usar o Secret Manager como um back-end em que as variáveis de conexão do Airflow são armazenadas.
Os desenvolvedores do DAG também podem ler variáveis e conexões armazenadas no Secret Manager no código do DAG.
Conformidade com os padrões
Consulte os links abaixo para verificar a conformidade do Cloud Composer com vários padrões:
- Compliance com a HIPAA
- Transparência no acesso
- PCI DSS
- ISO/IEC: 27001, 27017, 27018
- SOC: SOC 1, SOC 2, SOC 3
- NIST: NIST800-53, NIST800-171
- DRZ FedRamp de nível médio
- Restrições de localização/residência de dados (guia de configuração do Cloud Composer)
Consulte também
Alguns dos recursos de segurança mencionados neste artigo são discutidos na apresentação Airflow Summit 2020: Executar DAGs do Airflow de maneira segura.