Recomendaciones de seguridad
Si las cargas de trabajo requieren un límite de seguridad o un aislamiento sólidos, ten en cuenta lo siguiente:
Para aplicar un aislamiento estricto, coloca las cargas de trabajo sensibles a la seguridad en un proyecto Google Cloud diferente.
Para controlar el acceso a recursos específicos, habilita el control de acceso basado en roles en tus instancias de Cloud Data Fusion.
Para asegurarte de que la instancia no sea accesible públicamente y reducir el riesgo de exfiltración de datos sensibles, habilita las direcciones IP internas y los controles de servicio de VPC (VPC-SC) en tus instancias.
Autenticación
La interfaz de usuario web de Cloud Data Fusion admite los mecanismos de autenticación compatibles con la consola de Google Cloud , y el acceso se controla mediante Gestión de Identidades y Accesos.
Controles de redes
Puedes crear una instancia privada de Cloud Data Fusion, que se puede conectar a tu red de VPC mediante el emparejamiento de VPC o Private Service Connect. Las instancias privadas de Cloud Data Fusion tienen una dirección IP interna y no están expuestas a la red pública de Internet. Puedes aumentar la seguridad con Controles de Servicio de VPC para establecer un perímetro de seguridad en torno a una instancia privada de Cloud Data Fusion.
Para obtener más información, consulta la descripción general de las redes de Cloud Data Fusion.
Ejecución de flujos de procesamiento en clústeres de Dataproc con IP interna creados previamente
Puedes usar una instancia privada de Cloud Data Fusion con el provisionador remoto de Hadoop. El clúster de Dataproc debe estar en la red de VPC emparejada con Cloud Data Fusion. El aprovisionador remoto de Hadoop se configura con la dirección IP interna del nodo maestro del clúster de Dataproc.
Control de acceso
Gestionar el acceso a la instancia de Cloud Data Fusion: las instancias con RBAC habilitado admiten la gestión del acceso a nivel de espacio de nombres mediante Gestión de Identidades y Accesos. Las instancias con RBAC inhabilitado solo admiten la gestión del acceso a nivel de instancia. Si tienes acceso a una instancia, tienes acceso a todas las canalizaciones y metadatos de esa instancia.
Acceso de la canalización a tus datos: el acceso de la canalización a los datos se proporciona concediendo acceso a la cuenta de servicio, que puede ser una cuenta de servicio personalizada que especifiques.
Reglas de cortafuegos
En el caso de una ejecución de una canalización, usted controla la entrada y la salida configurando las reglas de cortafuegos adecuadas en la VPC del cliente en la que se ejecuta la canalización.
Para obtener más información, consulta el artículo Reglas de cortafuegos.
Almacenamiento de claves
Las contraseñas, las claves y otros datos se almacenan de forma segura en Cloud Data Fusion y se encriptan con claves almacenadas en Cloud Key Management Service. En el tiempo de ejecución, Cloud Data Fusion llama a Cloud Key Management Service para recuperar la clave que se usa para descifrar los secretos almacenados.
Cifrado
De forma predeterminada, los datos se cifran en reposo mediante Google-owned and Google-managed encryption keys y en tránsito mediante TLS v1.2. Puedes usar claves de cifrado gestionadas por el cliente (CMEK) para controlar los datos que escriben los flujos de procesamiento de Cloud Data Fusion, incluidos los metadatos de clústeres de Dataproc y las fuentes y los receptores de datos de Cloud Storage, BigQuery y Pub/Sub.
Cuentas de servicio
Los flujos de procesamiento de Cloud Data Fusion se ejecutan en clústeres de Dataproc en el proyecto del cliente y se pueden configurar para que se ejecuten con una cuenta de servicio personalizada especificada por el cliente. A una cuenta de servicio personalizada se le debe conceder el rol Usuario de cuenta de servicio.
Proyectos
Los servicios de Cloud Data Fusion se crean en proyectos de inquilino gestionados por Google a los que los usuarios no pueden acceder. Los flujos de procesamiento de Cloud Data Fusion se ejecutan en clústeres de Dataproc dentro de los proyectos de los clientes. Los clientes pueden acceder a estos clústeres durante su tiempo de vida.
Registros de auditoría
Los registros de auditoría de Cloud Data Fusion están disponibles en Logging.
Complementos y artefactos
Los operadores y administradores deben tener cuidado al instalar complementos o artefactos no fiables, ya que pueden suponer un riesgo de seguridad.
Federación de identidades para los trabajadores
Los usuarios de federación de identidades de la fuerza de trabajo pueden realizar operaciones en Cloud Data Fusion, como crear, eliminar, actualizar y enumerar instancias. Para obtener más información sobre las limitaciones, consulta el artículo Federación de identidades de empleados: productos admitidos y limitaciones.