Recomendaciones de seguridad
Para las cargas de trabajo que requieren un límite de seguridad o aislamiento sólido, considera lo siguiente:
Para aplicar el aislamiento estricto, ubica las cargas de trabajo sensibles a la seguridad en un a otro proyecto de Google Cloud.
Para controlar el acceso a recursos específicos, habilita control de acceso basado en roles Instancias de Cloud Data Fusion.
Para garantizar que no se pueda acceder a la instancia de forma pública y reducir el riesgo de robo de datos sensibles, habilita las direcciones IP internas y los Controles del servicio de VPC (VPC-SC) en tus instancias.
Autenticación
La IU web de Cloud Data Fusion admite mecanismos de autenticación compatibles. por la consola de Google Cloud, con el acceso controlado a través de Identity and Access Management.
Controles de Herramientas de redes
Puedes crear una instancia privada de Cloud Data Fusion, que se puede intercambiar con su red de VPC. Las instancias de Private Cloud Data Fusion tienen una dirección IP interna y no la tienen a la Internet pública. Hay seguridad adicional disponible con los Controles del servicio de VPC para establecer un perímetro de seguridad alrededor de una instancia privada de Cloud Data Fusion.
Para obtener más información, consulta la descripción general de las herramientas de redes de Cloud Data Fusion.
Ejecución de la canalización en clústeres de Dataproc con IP internas creadas previamente
Puedes usar una instancia privada de Cloud Data Fusion con el aprovisionador de Hadoop remoto. El clúster de Dataproc debe estar en la red de VPC intercambio de tráfico con Cloud Data Fusion. El aprovisionador de Hadoop remoto se configura con la dirección IP interna del nodo principal del clúster de Dataproc.
Control de acceso
Administra el acceso a la instancia de Cloud Data Fusion: Las instancias habilitadas para RBAC admiten la administración del acceso a nivel de espacio de nombres a través de Identity and Access Management. Las instancias con RBAC inhabilitadas solo admiten la administración del acceso a un a nivel de instancia. Si tienes acceso a una instancia, tienes acceso a todas las canalizaciones y metadatos de esa instancia.
Acceso de la canalización a tus datos: el acceso de la canalización a los datos se proporciona cuando se proporciona acceso a la cuenta de servicio, que puede ser una cuenta de servicio personalizada que especifiques.
Reglas de firewall
Para la ejecución de una canalización, puedes controlar la entrada y la salida si configuras las reglas de firewall adecuadas en la VPC del cliente en la que se ejecuta la canalización.
Para obtener más información, consulta las Reglas de firewall.
Almacenamiento de claves
Contraseñas, claves y otros datos se almacenan de forma segura en Cloud Data Fusion y encriptarse con claves almacenadas en Cloud Key Management Service. Durante el tiempo de ejecución, Cloud Data Fusion llama a Cloud Key Management Service para recuperar la clave que se usó para desencriptar los Secrets almacenados.
Encriptación
De forma predeterminada, los datos se encriptan en reposo con Claves de propiedad de Google y administradas por Google, y en tránsito con TLS v1.2. Usa claves de encriptación administradas por el cliente (CMEK) para controlar los datos escritos por las canalizaciones de Cloud Data Fusion, incluidos los metadatos de clústeres de Dataproc, y los receptores y las fuentes de datos de Cloud Storage, BigQuery y Pub/Sub.
Cuentas de servicio
Las canalizaciones de Cloud Data Fusion se ejecutan en clústeres de Dataproc en el proyecto de cliente y se pueden configurar para que se ejecuten con una cuenta de servicio (personalizada) especificada por el cliente. Se debe otorgar una cuenta de servicio personalizada a la función de Usuario de cuentas de servicio.
Proyectos
Los servicios de Cloud Data Fusion se crean en proyectos de usuarios administrados por Google a los que los usuarios no pueden acceder. Las canalizaciones de Cloud Data Fusion se ejecutan en clústeres de Dataproc dentro de proyectos de clientes. Los clientes pueden acceder a estos clústeres durante su ciclo de vida.
Registros de auditoría
Los registros de auditoría de Cloud Data Fusion están disponibles en Logging.
Complementos y artefactos
Los operadores y los administradores deberían tener cuidado cuando instalan complementos o artefactos no confiables, ya que podrían representar un riesgo de seguridad.
Federación de Workforce Identity
Usuarios de la federación de identidades de personal puede realizar operaciones en Cloud Data Fusion, como crear, borrar, actualizar y enumerar instancias. Para obtener más información sobre las limitaciones, consulta Federación de identidades de personal: productos admitidos y limitaciones.