Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Cloud Composer menawarkan beberapa fitur dan kepatuhan keamanan yang bermanfaat bagi perusahaan besar dengan persyaratan keamanan yang lebih ketat.
Tiga bagian ini menyajikan informasi tentang fitur keamanan Cloud Composer:
- Fitur keamanan dasar. Menjelaskan fitur yang tersedia di lingkungan Cloud Composer secara default.
- Fitur keamanan lanjutan. Menjelaskan fitur yang dapat Anda gunakan untuk mengubah Cloud Composer sesuai dengan persyaratan keamanan Anda.
- Kepatuhan terhadap standar. Memberikan daftar standar yang diikuti oleh Cloud Composer.
Fitur keamanan dasar
Bagian ini mencantumkan fitur terkait keamanan yang disediakan secara default untuk setiap lingkungan Cloud Composer.
Enkripsi dalam penyimpanan
Cloud Composer menggunakan enkripsi dalam penyimpanan di Google Cloud.
Cloud Composer menyimpan data di berbagai layanan. Misalnya, DB Metadata Airflow menggunakan database Cloud SQL, DAG disimpan di bucket Cloud Storage.
Secara default, data dienkripsi menggunakan kunci enkripsi yang dikelola Google.
Jika mau, Anda dapat mengonfigurasi lingkungan Cloud Composer agar dienkripsi dengan kunci enkripsi yang dikelola pelanggan.
Akses level bucket yang seragam
Akses level bucket yang seragam memungkinkan Anda mengontrol akses ke resource Cloud Storage secara seragam. Mekanisme ini juga berlaku untuk bucket lingkungan Anda, yang menyimpan DAG dan plugin Anda.
Izin pengguna
Cloud Composer memiliki beberapa fitur untuk mengelola izin pengguna:
Peran dan izin IAM. Lingkungan Cloud Composer di project Google Cloud hanya dapat diakses oleh pengguna yang akunnya ditambahkan ke IAM project.
Peran dan izin khusus Cloud Composer. Anda menetapkan peran dan izin ini ke akun pengguna di project Anda. Setiap peran menentukan jenis operasi yang dapat dilakukan akun pengguna di lingkungan Cloud Composer dalam project Anda.
Kontrol Akses UI Airflow. Pengguna dalam project Anda dapat memiliki tingkat akses yang berbeda di UI Airflow. Mekanisme ini disebut Kontrol Akses UI Airflow (Kontrol Akses Berbasis Peran Airflow, atau RBAC Airflow).
Berbagi dengan Domain Terbatas (DRS). Cloud Composer mendukung kebijakan organisasi Berbagi yang Dibatasi Domain. Jika Anda menggunakan kebijakan ini, hanya pengguna dari domain yang dipilih yang dapat mengakses lingkungan Anda.
Lingkungan IP pribadi
Anda dapat membuat lingkungan Cloud Composer dalam konfigurasi jaringan IP Pribadi.
Dalam mode IP Pribadi, node cluster lingkungan Anda tidak memiliki alamat IP eksternal dan tidak berkomunikasi melalui internet publik.
Cluster lingkungan Anda menggunakan Shielded VM
Shielded VM adalah virtual machine (VM) di Google Cloud yang telah melalui proses hardening oleh serangkaian kontrol keamanan yang membantu memberikan pertahanan dari rootkit dan bootkit.
Lingkungan Cloud Composer 1 yang dibuat berdasarkan GKE versi 1.18 dan yang lebih baru menggunakan VM Berpelindung untuk menjalankan node cluster lingkungannya.
Fitur keamanan lanjutan
Bagian ini mencantumkan fitur lanjutan terkait keamanan untuk lingkungan Cloud Composer.
Kunci Enkripsi yang Dikelola Pelanggan (CMEK)
Cloud Composer mendukung Kunci Enkripsi yang Dikelola Pelanggan (CMEK). CMEK memberi Anda kontrol lebih besar atas kunci yang digunakan untuk mengenkripsi data dalam penyimpanan dalam project Google Cloud.
Anda dapat menggunakan CMEK dengan Cloud Composer untuk mengenkripsi dan mendekripsi data yang dihasilkan oleh lingkungan Cloud Composer.
Dukungan Kontrol Layanan VPC (VPC SC)
Kontrol Layanan VPC adalah mekanisme untuk mengurangi risiko pemindahan data yang tidak sah.
Cloud Composer dapat dipilih sebagai layanan aman di dalam perimeter Kontrol Layanan VPC. Semua resource pokok yang digunakan oleh Cloud Composer dikonfigurasi untuk mendukung arsitektur Kontrol Layanan VPC dan mengikuti aturannya. Hanya lingkungan IP Pribadi yang dapat dibuat di perimeter VPC SC.
Men-deploy lingkungan Cloud Composer dengan Kontrol Layanan VPC memberi Anda:
Mengurangi risiko pemindahan data yang tidak sah.
Perlindungan terhadap eksposur data karena kontrol akses yang salah dikonfigurasi.
Mengurangi risiko pengguna berbahaya yang menyalin data ke resource Google Cloud yang tidak sah, atau penyerang eksternal yang mengakses resource Google Cloud dari internet.
Tingkat kontrol akses jaringan (ACL) server web
Server web Airflow di Cloud Composer selalu disediakan dengan alamat IP yang dapat diakses secara eksternal. Anda dapat mengontrol alamat IP mana yang dapat digunakan untuk mengakses UI Airflow. Cloud Composer mendukung rentang IPv4 dan IPv6.
Anda dapat mengonfigurasi batasan akses server web di konsol Google Cloud, gcloud
, API, dan Terraform.
Secret Manager sebagai penyimpanan untuk data konfigurasi sensitif
Di Cloud Composer, Anda dapat mengonfigurasi Airflow untuk menggunakan Secret Manager sebagai backend tempat variabel koneksi Airflow disimpan.
Developer DAG juga dapat membaca variabel dan koneksi yang disimpan di Secret Manager dari kode DAG.
Kepatuhan terhadap standar
Lihat halaman yang ditautkan di bawah untuk memeriksa kepatuhan Cloud Composer terhadap berbagai standar:
- Kepatuhan HIPAA
- Transparansi Akses
- PCI DSS
- ISO/IEC: 27001, 27017, 27018
- SOC: SOC 1, SOC 2, SOC 3
- NIST: NIST800-53, NIST800-171
- DRZ FedRamp Moderate
- Residensi Data/Pembatasan Lokasi (panduan konfigurasi untuk Cloud Composer)
Lihat juga
Beberapa fitur keamanan yang disebutkan dalam artikel ini dibahas dalam presentasi Airflow Summit 2020: Menjalankan DAG Airflow dengan aman.