Descripción general de la seguridad de Cloud Composer

Cloud Composer 1 | Cloud Composer 2

Cloud Composer ofrece un conjunto de características y cumplimientos de seguridad que son beneficiosos para empresas empresariales con requisitos de seguridad más estrictos.

En estas tres secciones, se presenta información sobre las características de seguridad de Cloud Composer:

Funciones básicas de seguridad

En esta sección, se enumeran las funciones relacionadas con la seguridad que se proporcionan de forma predeterminada para cada entorno de Cloud Composer.

Encriptación en reposo

Cloud Composer usa la encriptación en reposo en Google Cloud.

Cloud Composer almacena datos en diferentes servicios. Por ejemplo, la base de datos de metadatos de Airflow usa la base de datos de Cloud SQL, los DAG se almacenan en depósitos de Cloud Storage.

De forma predeterminada, los datos se encriptan con claves de encriptación administradas por Google.

Si lo prefieres, puedes configurar entornos de Cloud Composer para que se encripten con claves de encriptación administradas por el cliente.

Acceso uniforme a nivel de bucket

El acceso uniforme a nivel de bucket te permite controlar de manera uniforme el acceso a tus recursos de Cloud Storage. Este mecanismo también se aplica al bucket de tu entorno, que almacena tus DAG y complementos.

Permisos de usuario

Cloud Composer cuenta con varias funciones para administrar los permisos de usuario:

  • Funciones y permisos de IAM Solo los usuarios cuyas cuentas se agregan a la IAM del proyecto pueden acceder a los entornos de Cloud Composer en un proyecto de Google Cloud.

  • Funciones y permisos específicos de Cloud Composer. Asigna estas funciones y permisos a las cuentas de usuario de tu proyecto. Cada función define los tipos de operaciones que una cuenta de usuario puede realizar en los entornos de Cloud Composer en tu proyecto.

  • RBAC de Airflow. Los usuarios de tu proyecto pueden tener diferentes niveles de acceso en la IU de Airflow. Este mecanismo se llama Control de acceso según la función de Airflow (RBAC).

  • Uso compartido restringido al dominio (DRS) Cloud Composer admite la política de la organización de uso compartido restringido al dominio. Si usas esta política, solo los usuarios de los dominios seleccionados podrán acceder a tus entornos.

Modo de IP privada para entornos de Cloud Composer

Puedes crear entornos de Cloud Composer en la configuración de red de la IP privada.

En el Modo de IP privada, los nodos del clúster de tu entorno no tienen direcciones IP externas y no se comunican a través de la Internet pública.

El clúster del entorno usa VM protegidas

Las VM protegidas son máquinas virtuales (VM) en Google Cloud endurecidas gracias a un conjunto de controles de seguridad destinados a protegerlas de los rootkits y bootkits.

Entornos de Cloud Composer 1 creados en GKE versiones 1.18 y posteriores usan VM protegidas para ejecutar nodos de su clúster de entorno.

Funciones de seguridad avanzadas

En esta sección, se enumeran las funciones avanzadas relacionadas con la seguridad para los entornos de Cloud Composer.

Claves de encriptación administradas por el cliente (CMEK)

Cloud Composer admite claves de encriptación administradas por el cliente (CMEK). Las CMEK te brindan más control sobre las claves que se usan para encriptar datos en reposo dentro de un proyecto de Google Cloud.

Puedes usar CMEK con Cloud Composer para encriptar y desencriptar datos generados por un entorno de Cloud Composer.

Compatibilidad con los Controles del servicio de VPC (VPC SC)

Los Controles del servicio de VPC son un mecanismo para mitigar los riesgos de robo de datos.

Cloud Composer se puede seleccionar como un servicio seguro dentro de un perímetro de Controles del servicio de VPC. Todos los recursos subyacentes que usa Cloud Composer están configurados para admitir la arquitectura de los Controles del servicio de VPC y seguir sus reglas. Solo se pueden crear entornos de IP privada en un perímetro de VPC SC.

La implementación de entornos de Cloud Composer con los Controles del servicio de VPC te brinda lo siguiente:

  • Reducción del riesgo de robo de datos

  • Protección contra la exposición de datos debido a controles de acceso mal configurados

  • Menor riesgo de que los usuarios maliciosos copien datos en recursos no autorizados de Google Cloud o de atacantes externos que accedan a recursos de Google Cloud desde Internet

Niveles de control de acceso a la red (LCA) del servidor web

Los servidores web de Airflow en Cloud Composer siempre se aprovisionan con una dirección IP accesible de forma externa. Puedes controlar desde qué direcciones IP se puede acceder a la IU de Airflow. Cloud Composer admite rangos IPv4 e IPv6.

Puedes configurar las restricciones de acceso del servidor web en Cloud Console, gcloud, la API y Terraform.

Secret Manager como almacenamiento para datos sensibles de configuración

En Cloud Composer, puedes configurar Airflow para usar Secret Manager como un backend en el que se almacenan las variables de conexión de Airflow.

Los desarrolladores de DAG también pueden leer variables y conexiones almacenadas en Secret Manager desde el código del DAG.

Cumplimiento de los estándares

Consulta las páginas vinculadas a continuación para verificar el cumplimiento de Cloud Composer con varios estándares:

También consulta lo siguiente:

Algunas de las características de seguridad que se mencionan en este artículo se analizan en la presentación de Airflow Summit 2020: Ejecuta DAG de Airflow de forma segura.

¿Qué sigue?