Visão geral da segurança do Cloud Composer

Cloud Composer 1 | Cloud Composer 2

O Cloud Composer oferece vários recursos de segurança e conformidade que são benéficos para empresas com requisitos de segurança mais rigorosos.

Estas três seções apresentam informações sobre os recursos de segurança do Cloud Composer:

Recursos de segurança básicos

Nesta seção, listamos os recursos relacionados à segurança fornecidos por padrão para cada ambiente do Cloud Composer.

Criptografia em repouso

O Cloud Composer usa criptografia em repouso no Google Cloud.

O Cloud Composer armazena dados em diferentes serviços. Por exemplo, o banco de dados de metadados do Airflow usa o banco de dados do Cloud SQL, e os DAGs são armazenados em buckets do Cloud Storage.

Por padrão, os dados são criptografados por chaves de criptografia gerenciadas pelo Google.

Se preferir, configure os ambientes do Cloud Composer para serem criptografados com chaves de criptografia gerenciadas pelo cliente.

Acesso uniforme no nível do bucket

O acesso uniforme no nível do bucket permite controlar de maneira uniforme o acesso aos recursos do Cloud Storage. Esse mecanismo também se aplica ao bucket do ambiente, que armazena os DAGs e plug-ins.

Permissões de usuário

O Cloud Composer tem vários recursos para gerenciar as permissões de usuário:

  • Papéis e permissões do IAM Os ambientes do Cloud Composer em um projeto do Google Cloud só podem ser acessados por usuários com contas adicionadas ao IAM do projeto.

  • Papéis e permissões específicos do Cloud Composer. Você atribui esses papéis e permissões a contas de usuário no seu projeto. Cada papel define os tipos de operações que uma conta de usuário pode realizar nos ambientes do Cloud Composer no seu projeto.

  • RBAC do Airflow. Os usuários do seu projeto podem ter diferentes níveis de acesso na IU do Airflow. Esse mecanismo é chamado de controle de acesso baseado em papéis (RBAC, na sigla em inglês) do Airflow.

  • Compartilhamento restrito de domínio (DRS, na sigla em inglês). O Cloud Composer é compatível com a política organizacional de compartilhamento restrito de domínio. Se você usar essa política, somente usuários dos domínios selecionados poderão acessar seus ambientes.

Modo de IP privado para ambientes do Cloud Composer

É possível criar ambientes do Cloud Composer na configuração de rede do IP privado.

No modo de IP particular, os nós do cluster do ambiente não têm endereços IP externos e não se comunicam por meio da Internet pública.

O cluster do ambiente usa VMs protegidas

As VMs protegidas são máquinas virtuais do Google Cloud com um conjunto de controles de segurança que ajudam a proteger contra rootkits e bootkits.

Os ambientes do Cloud Composer 1 que foram criados com base nas versões 1.18 e posteriores do GKE usam VMs protegidas para executar os nós do cluster de ambiente.

Recursos avançados de segurança

Nesta seção, listamos os recursos avançados relacionados à segurança dos ambientes do Cloud Composer.

Chaves de criptografia gerenciadas pelo cliente (CMEK)

O Cloud Composer é compatível com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). As CMEKs oferecem mais controle sobre as chaves usadas para criptografar dados em repouso em um projeto do Google Cloud.

É possível usar CMEK com o Cloud Composer para criptografar e descriptografar dados gerados por um ambiente do Cloud Composer.

Suporte do VPC Service Controls (VPC SC)

O VPC Service Controls é um mecanismo para reduzir os riscos de exfiltração de dados.

O Cloud Composer pode ser selecionado como um serviço seguro dentro de um perímetro do VPC Service Controls. Todos os recursos subjacentes usados pelo Cloud Composer são configurados para serem compatíveis com a arquitetura do VPC Service Controls e seguir as regras. Somente ambientes de IP particular podem ser criados em um perímetro do VPC SC.

A implantação de ambientes do Cloud Composer com o VPC Service Controls oferece:

  • Risco reduzido de exfiltração de dados.

  • Proteção contra exposição de dados devido a controles de acesso configurados incorretamente.

  • Redução do risco de usuários mal-intencionados copiarem dados para recursos não autorizados do Google Cloud ou invasores externos que acessam recursos do Google Cloud pela Internet.

Níveis de controle de acesso à rede (ACL) do servidor da Web

Os servidores da Web do Airflow no Cloud Composer são sempre provisionados com um endereço IP acessível externamente. É possível controlar de quais endereços IP a IU do Airflow pode ser acessada. O Cloud Composer é compatível com intervalos IPv4 e IPv6.

É possível configurar restrições de acesso ao servidor da Web no Console do Cloud, no gcloud, na API e no Terraform.

Gerenciador de secrets como armazenamento para dados de configuração confidenciais

No Cloud Composer, é possível configurar o Airflow para usar o Secret Manager como um back-end em que as variáveis de conexão do Airflow são armazenadas.

Os desenvolvedores do DAG também podem ler variáveis e conexões armazenadas no Gerenciador de secrets a partir do código do DAG.

Conformidade com os padrões

Consulte as páginas vinculadas abaixo para verificar a conformidade do Cloud Composer com vários padrões:

Consulte também

Alguns dos recursos de segurança mencionados neste artigo são discutidos na apresentação do Airflow 2020: Executar DAGs do Airflow de maneira segura.

A seguir