Sicurezza

Suggerimenti sulla sicurezza

Per i carichi di lavoro che richiedono un forte isolamento o confine di sicurezza, considera la seguenti:

Autenticazione

La UI web di Cloud Data Fusion supporta i meccanismi di autenticazione supportati Dalla console Google Cloud, con l'accesso controllato attraverso Identity and Access Management.

Controlli di networking

Puoi creare un'istanza Cloud Data Fusion privata, che possono essere connessi in peering con la rete VPC. Le istanze private di Cloud Data Fusion hanno un indirizzo IP privato e non sono esposti alla rete internet pubblica. Ulteriore sicurezza disponibile tramite Controlli di servizio VPC per stabilire perimetro di sicurezza attorno a un'istanza privata di Cloud Data Fusion.

Per ulteriori informazioni, consulta Panoramica del networking di Cloud Data Fusion.

Esecuzione della pipeline su cluster Dataproc con IP privato creati in precedenza

Puoi utilizzare un'istanza Cloud Data Fusion privata con provisioning da remoto di Hadoop. Il cluster Dataproc deve trovarsi Rete VPC in peering con Cloud Data Fusion. Il provisioner remoto di Hadoop è configurato con l'indirizzo IP privato del nodo master di Dataproc in un cluster Kubernetes.

Controllo degli accessi

  • Gestione dell'accesso all'istanza Cloud Data Fusion: Le istanze abilitate per RBAC supportano la gestione degli accessi a livello di spazio dei nomi tramite Identity and Access Management. Le istanze con RBAC disabilitate supportano solo la gestione dell'accesso a livello di a livello di istanza. Se hai accesso a un'istanza, puoi accedere tutte le pipeline e i metadati in quell'istanza.

  • Accesso ai dati da parte della pipeline: l'accesso alla pipeline ai dati è fornito da concedendo l'accesso all'account di servizio, che può essere una dell'account di servizio personalizzato da te specificato.

Regole firewall

Per l'esecuzione di una pipeline, controlli il traffico in entrata e in uscita impostando il parametro le regole firewall appropriate sul VPC del cliente su cui viene eseguita la pipeline eseguito.

Per ulteriori informazioni, vedi Regole firewall.

Archiviazione delle chiavi

Password, chiavi e altri dati vengono archiviati in modo sicuro in Cloud Data Fusion e criptati utilizzando chiavi archiviate in Cloud Key Management Service. In fase di runtime, Cloud Data Fusion chiama Cloud Key Management Service per recuperare la chiave utilizzata per decriptare i secret archiviati.

Crittografia

Per impostazione predefinita, i dati vengono criptati at-rest utilizzando Chiavi di proprietà di Google e gestite da Google, e in transito con TLS v1.2. Utilizzi chiavi di crittografia gestite dal cliente (CMEK) per controllare i dati scritti dalle pipeline di Cloud Data Fusion, i metadati del cluster Dataproc e Cloud Storage, Origini dati e sink di BigQuery e Pub/Sub.

Account di servizio

Le pipeline di Cloud Data Fusion vengono eseguite nei cluster Dataproc in per il progetto del cliente e può essere configurato per l'esecuzione utilizzando un modello (personalizzato). A un account di servizio personalizzato devi concedere Utente account di servizio ruolo.

Progetti

I servizi Cloud Data Fusion vengono creati in progetti tenant gestiti da Google a cui gli utenti non possono accedere. Le pipeline di Cloud Data Fusion vengono eseguite Cluster Dataproc all'interno dei progetti del cliente. I clienti possono accedere di questi cluster durante il loro ciclo di vita.

Eseguire il deployment della pipeline.

Audit log

Gli audit log di Cloud Data Fusion sono disponibili in Logging.

Plug-in e artefatti

Operatori e amministratori devono diffidare di installare plug-in non attendibili elementi, in quanto potrebbero rappresentare un rischio per la sicurezza.

Federazione delle identità per la forza lavoro

Utenti della federazione delle identità per la forza lavoro può eseguire operazioni in Cloud Data Fusion, come la creazione, l'eliminazione l'upgrade e l'elenco delle istanze. Per ulteriori informazioni sulle limitazioni, vedi Federazione delle identità per la forza lavoro: prodotti supportati e limitazioni.