Cloud Composer 보안 개요

Cloud Composer 1 | Cloud Composer 2

Cloud Composer는 보다 엄격한 보안 요구사항을 충족해야 하는 기업에게 유용한 보안 기능과 규정 준수를 제공합니다.

다음 세 개의 섹션을 통해 Cloud Composer 보안 기능에 대한 정보를 제공합니다.

  • 기본 보안 기능. Cloud Composer 환경에서 기본적으로 사용할 수 있는 기능을 설명합니다.
  • 고급 보안 기능. Cloud Composer를 사용자 보안 요구사항에 맞게 수정하는 데 사용할 수 있는 기능을 설명합니다.
  • 표준 준수. Cloud Composer가 준수하는 표준 목록을 제공합니다.

기본 보안 기능

이 섹션에서는 각 Cloud Composer 환경에 기본적으로 제공되는 보안 관련 기능을 설명합니다.

저장 데이터 암호화

Cloud Composer는 Google Cloud의 저장 데이터 암호화를 활용합니다.

Cloud Composer는 서로 다른 서비스에 데이터를 저장합니다. 예를 들어 Airflow 메타데이터 DB는 Cloud SQL 데이터베이스를 사용하여 저장하고, DAG는 Cloud Storage 버킷에 저장합니다.

기본적으로 데이터는 Google 관리 암호화 키를 사용하여 암호화됩니다.

원하는 경우 고객 관리 암호화 키로 암호화하도록 Cloud Composer 환경을 구성할 수 있습니다.

균일한 버킷 수준 액세스

균일한 버킷 수준 액세스를 사용하면 Cloud Storage 리소스에 대한 액세스를 균등하게 제어할 수 있습니다. 이 메커니즘은 DAG와 플러그인을 저장하는 환경의 버킷에도 적용됩니다.

사용자 권한

Cloud Composer에는 사용자 권한을 관리하는 몇 가지 기능이 있습니다.

  • IAM 역할 및 권한. 프로젝트의 IAM에 계정이 추가된 사용자만 Google Cloud 프로젝트의 Cloud Composer 환경에 액세스할 수 있습니다.

  • Cloud Composer 관련 역할 및 권한. 프로젝트의 사용자 계정에 이러한 역할 및 권한을 할당합니다. 각 역할은 사용자 계정이 프로젝트의 Cloud Composer 환경에서 수행할 수 있는 작업 유형을 정의합니다.

  • Airflow RBAC. 프로젝트의 사용자는 Airflow UI에 대해 액세스 수준이 다를 수 있습니다. 이 메커니즘을 Airflow 역할 기반 액세스 제어(RBAC)라고 합니다.

  • 도메인 제한 공유(DRS). Cloud Composer는 도메인 제한 공유 조직 정책을 지원합니다. 이 정책을 사용하면 선택한 도메인의 사용자만 환경에 액세스할 수 있습니다.

Cloud Composer 환경의 비공개 IP 모드

비공개 IP 네트워킹 구성으로 Cloud Composer 환경을 만들 수 있습니다.

비공개 IP 모드에서는 환경 클러스터의 노드가 외부 IP 주소를 포함하지 않으며 공개 인터넷을 통해 통신하지 않습니다.

사용자 환경의 클러스터가 보안 VM을 사용

보안 VM은 루트킷과 부트킷으로부터 보호하는 데 도움이 되는 보안 제어로 강화된 Google Cloud의 가상 머신(VM)입니다.

GKE 버전 1.18 이상을 기반으로 만들어진 Cloud Composer 1 환경은 보안 VM을 사용하여 환경 클러스터의 노드를 실행합니다.

고급 보안 기능

이 섹션에서는 Cloud Composer 환경의 고급 보안 관련 기능을 설명합니다.

고객 관리 암호화 키(CMEK)

Cloud Composer는 고객 관리 암호화 키(CMEK)를 지원합니다. CMEK를 사용하면 Google Cloud 프로젝트 내에서 저장 데이터를 암호화하는 데 사용되는 키를 보다 세부적으로 제어할 수 있습니다.

Cloud Composer에서 CMEK를 사용하여 Cloud Composer 환경에서 생성된 데이터를 암호화하고 복호화할 수 있습니다.

VPC 서비스 제어(VPC SC) 지원

VPC 서비스 제어는 데이터 무단 반출 위험을 완화할 수 있는 메커니즘입니다.

VPC 서비스 제어 경계 내에서 보안 서비스로 Cloud Composer를 선택할 수 있습니다. Cloud Composer에서 사용하는 모든 기본 리소스는 VPC 서비스 제어 아키텍처를 지원하고 해당 규칙을 따르도록 구성됩니다. VPC SC 경계에서는 비공개 IP 환경만 만들 수 있습니다.

VPC 서비스 제어를 사용하여 Cloud Composer 환경을 배포하면 다음 이점을 얻을 수 있습니다.

  • 데이터 무단 반출 위험 감소

  • 잘못 구성된 액세스 제어로 인한 데이터 노출 방지

  • 악의적인 사용자가 승인되지 않은 Google Cloud 리소스에 데이터를 복사하거나 인터넷에서 Google Cloud 리소스에 액세스하는 외부 공격자의 위험을 줄입니다.

웹 서버 네트워크 액세스 제어 수준(ACL)

Cloud Composer의 Airflow 웹 서버는 항상 외부에서 액세스 가능한 IP 주소로 프로비저닝됩니다. Airflow UI에 액세스할 수 있는 IP 주소를 제어할 수 있습니다. Cloud Composer는 IPv4 및 IPv6 범위를 지원합니다.

Cloud Console, gcloud, API, Terraform에서 웹 서버 액세스 제한을 구성할 수 있습니다.

민감한 구성 데이터의 스토리지인 Secret Manager

Cloud Composer에서는 Airflow 연결 변수가 저장되는 백엔드로 Secret Manager를 사용하도록 Airflow를 구성할 수 있습니다.

DAG 개발자는 DAG 코드에서 Secret Manager에 저장된 변수와 연결을 읽을 수도 있습니다.

표준 준수

Cloud Composer가 다양한 표준을 준수하는지 확인하려면 아래 링크를 참조하세요.

추가 정보

이 문서에 언급된 일부 보안 기능을 Airflow Summit 2020 프레젠테이션 Airflow DAG를 안전한 방식으로 실행에서 다룹니다.

다음 단계