Cloud Composer-Sicherheit

Cloud Composer 1 Cloud Composer 2

Cloud Composer bietet eine Reihe von Sicherheitsfeatures und Compliances, die für Unternehmen mit strengeren Sicherheitsanforderungen vorteilhaft sind.

Die folgenden drei Abschnitte enthalten Informationen zu den Cloud Composer-Sicherheitsfeatures:

Grundlegende Sicherheitsfunktionen

In diesem Abschnitt werden sicherheitsrelevante Features aufgeführt, die standardmäßig für jede Cloud Composer-Umgebung bereitgestellt werden.

Verschlüsselung inaktiver Daten

Cloud Composer nutzt die Verschlüsselung inaktiver Daten in Google Cloud.

Cloud Composer speichert Daten in verschiedenen Diensten. Die Airflow-Metadatendatenbank verwendet beispielsweise die Cloud SQL-Datenbank. DAGs werden in Cloud Storage-Buckets gespeichert.

Standardmäßig werden Daten mit von Google verwalteten Verschlüsselungsschlüsseln verschlüsselt.

Wenn Sie möchten, können Sie Cloud Composer-Umgebungen so konfigurieren, dass sie mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsselt werden.

Einheitlicher Zugriff auf Bucket-Ebene

Mit dem einheitlichen Zugriff auf Bucket-Ebene können Sie den Zugriff auf Ihre Cloud Storage-Ressourcen einheitlich steuern. Dieser Mechanismus gilt auch für den Bucket Ihrer Umgebung, in dem Ihre DAGs und Plug-ins gespeichert werden.

Nutzerberechtigungen

Cloud Composer bietet verschiedene Features zum Verwalten von Nutzerberechtigungen:

  • IAM-Rollen und -Berechtigungen Auf Cloud Composer-Umgebungen in einem Google Cloud-Projekt kann nur von Nutzern zugegriffen werden, deren Konten zu IAM des Projekts hinzugefügt wurden.

  • Cloud Composer-spezifische Rollen und Berechtigungen Sie weisen diese Rollen und Berechtigungen den Nutzerkonten in Ihrem Projekt zu. Jede Rolle definiert die Arten von Vorgängen, die ein Nutzerkonto für Cloud Composer-Umgebungen im Projekt ausführen kann.

  • Airflow-UI-Zugriffssteuerung. Nutzer in Ihrem Projekt können in der Airflow-UI unterschiedliche Zugriffsebenen haben. Dieser Mechanismus wird als Airflow-UI-Zugriffssteuerung (Role-Based Access Control oder Airflow-RBAC) bezeichnet.

  • Domaineingeschränkte Freigabe (DRS). Cloud Composer unterstützt die Organisationsrichtlinie für die domaineingeschränkte Freigabe. Wenn Sie diese Richtlinie verwenden, können nur Nutzer aus den ausgewählten Domains auf Ihre Umgebungen zugreifen.

Privater IP-Modus für Cloud Composer-Umgebungen

Sie können Cloud Composer-Umgebungen in der Konfiguration des Netzwerks für private IP-Adressen erstellen.

Im privaten IP-Modus haben Knoten des Clusters Ihrer Umgebung keine externen IP-Adressen und kommunizieren nicht über das öffentliche Internet.

Der Cluster Ihrer Umgebung verwendet Shielded VMs

Shielded VMs sind virtuelle Maschinen (VMs) in Google Cloud, die durch eine Reihe von Sicherheitsfunktionen gegen Rootkits und Bootkits geschützt werden.

Cloud Composer 1-Umgebungen, die auf GKE-Versionen ab 1.18 erstellt wurden, verwenden Shielded VMs, um die Knoten ihres Umgebungsclusters auszuführen.

Erweiterte Sicherheitsfeatures

In diesem Abschnitt werden erweiterte sicherheitsrelevante Features für Cloud Composer-Umgebungen aufgeführt.

Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)

Cloud Composer unterstützt vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK). Mit CMEK haben Sie mehr Kontrolle über die Schlüssel, die zum Verschlüsseln inaktiver Daten in einem Google Cloud-Projekt verwendet werden.

Sie können CMEK mit Cloud Composer verwenden, um von einer Cloud Composer-Umgebung generierte Daten zu verschlüsseln und zu entschlüsseln.

Unterstützung von VPC Service Controls (VPC SC)

VPC Service Controls ist ein Mechanismus, um das Risiko der Daten-Exfiltrierung zu verringern.

Cloud Composer kann als sicherer Dienst innerhalb von VPC Service Controls-Perimetern ausgewählt werden. Alle von Cloud Composer verwendeten unterliegenden Ressourcen sind so konfiguriert, dass sie die VPC Service Controls-Architektur unterstützen und den relevanten Regeln entsprechen. In einem VPC-SC-Perimeter können nur private IP-Umgebungen erstellt werden.

Ihre Vorteile bei der Bereitstellung von Cloud Composer-Umgebungen mit VPC Service Controls sind:

  • Geringeres Risiko der Daten-Exfiltration.

  • Schutz vor Datenweitergabe aufgrund falsch konfigurierter Zugriffskontrollen.

  • Reduziertes Risiko, dass böswillige Nutzer Daten in nicht autorisierte Google Cloud-Ressourcen kopieren oder dass externe Angreifer über das Internet auf Google Cloud-Ressourcen zugreifen.

Webserver-Netzwerkzugriffssteuerungsebenen (ACL)

Airflow-Webserver in Cloud Composer werden immer mit einer extern zugänglichen IP-Adresse bereitgestellt. Sie können steuern, von welchen IP-Adressen aus die Airflow-UI aufgerufen werden kann. Cloud Composer unterstützt Bereiche wie IPv4 und IPv6.

Sie können in der Google Cloud Console, in gcloud, in der API und in Terraform Zugriffsbeschränkungen für den Webserver konfigurieren.

Secret Manager als Speicher für sensible Konfigurationsdaten

In Cloud Composer können Sie Airflow so konfigurieren, dass Secret Manager als Backend verwendet wird, in dem Airflow-Verbindungsvariablen gespeichert sind.

DAG-Entwickler können auch Variablen und eine Verbindung lesen, die in Secret Manager aus dem DAG-Code gespeichert sind.

Compliance nach Standards

Auf den folgenden Seiten finden Sie Links zu den Compliance-Anforderungen von Cloud Composer:

Weitere Informationen

Einige der in diesem Artikel erwähnten Sicherheitsfunktionen werden in der Präsentation Airflow 2020 erläutert: Airflow-DAGs sicher ausführen.

Nächste Schritte