Rekomendasi keamanan
Untuk workload yang memerlukan batas keamanan atau isolasi yang kuat, pertimbangkan hal berikut:
Untuk menerapkan isolasi yang ketat, tempatkan workload yang sensitif terhadap keamanan di project Google Cloud yang berbeda.
Untuk mengontrol akses ke resource tertentu, aktifkan kontrol akses berbasis peran di instance Cloud Data Fusion Anda.
Untuk memastikan bahwa instance tersebut tidak dapat diakses secara publik dan untuk mengurangi risiko pemindahan data sensitif yang tidak sah, aktifkan alamat IP internal dan Kontrol layanan VPC (VPC-SC) di instance Anda.
Authentication
UI web Cloud Data Fusion mendukung mekanisme autentikasi yang didukung oleh Google Cloud Console, dengan akses yang dikontrol melalui Identity and Access Management.
Kontrol jaringan
Anda dapat membuat instance Cloud Data Fusion pribadi, yang dapat di-peering dengan jaringan VPC-nya. Instance Cloud Data Fusion pribadi memiliki alamat IP pribadi dan tidak terekspos ke internet publik. Keamanan tambahan tersedia menggunakan Kontrol Layanan VPC untuk membangun perimeter keamanan di sekitar instance pribadi Cloud Data Fusion.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan jaringan Cloud Data Fusion.
Eksekusi pipeline pada cluster Dataproc IP pribadi yang sudah dibuat sebelumnya
Anda dapat menggunakan instance Cloud Data Fusion pribadi dengan penyedia Hadoop jarak jauh. Cluster Dataproc harus berada di jaringan VPC yang di-peering dengan Cloud Data Fusion. Penyedia Hadoop jarak jauh dikonfigurasi dengan alamat IP pribadi node master cluster Dataproc.
Kontrol akses
Mengelola akses ke instance Cloud Data Fusion: Instance berkemampuan RBAC mendukung pengelolaan akses pada tingkat namespace melalui Identity and Access Management. Instance yang dinonaktifkan RBAC hanya mendukung pengelolaan akses pada tingkat instance. Jika memiliki akses ke sebuah instance, Anda akan memiliki akses ke semua pipeline dan metadata dalam instance tersebut.
Akses pipeline ke data Anda: Akses pipeline ke data disediakan dengan memberi akses ke akun layanan, yang dapat berupa akun layanan kustom yang Anda tentukan.
Aturan firewall
Untuk eksekusi pipeline, Anda dapat mengontrol traffic masuk dan keluar dengan menyetel aturan firewall yang sesuai pada VPC pelanggan tempat pipeline dijalankan.
Untuk mengetahui informasi lebih lanjut, baca Aturan firewall.
Penyimpanan kunci
Sandi, kunci, dan data lainnya disimpan dengan aman di Cloud Data Fusion dan dienkripsi menggunakan kunci yang disimpan di Cloud Key Management Service. Saat runtime, Cloud Data Fusion memanggil Cloud Key Management Service untuk mengambil kunci yang digunakan untuk mendekripsi rahasia yang disimpan.
Enkripsi
Secara default, data dienkripsi saat dalam penyimpanan menggunakan kunci enkripsi yang dikelola Google, dan saat dalam pengiriman menggunakan TLS v1.2. Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk mengontrol data yang ditulis oleh pipeline Cloud Data Fusion, termasuk metadata cluster Dataproc dan Cloud Storage, BigQuery, dan sumber data serta sink Pub/Sub.
Akun layanan
Pipeline Cloud Data Fusion dijalankan di cluster Dataproc dalam project pelanggan, dan dapat dikonfigurasi untuk berjalan menggunakan akun layanan (kustom) yang ditentukan pelanggan. Akun layanan kustom harus diberi peran Service Account User.
Project
Layanan Cloud Data Fusion dibuat dalam project tenant yang dikelola Google dan tidak dapat diakses pengguna. Pipeline Cloud Data Fusion dijalankan di cluster Dataproc di dalam project pelanggan. Pelanggan dapat mengakses klaster ini selama masa aktif mereka.
Log audit
Log audit Cloud Data Fusion tersedia dari Logging.
Plugin dan artefak
Operator dan Admin harus berhati-hati saat menginstal plugin atau artefak yang tidak tepercaya, karena dapat menimbulkan risiko keamanan.
Workforce identity federation
Pengguna Workforce identity federation dapat melakukan operasi di Cloud Data Fusion, seperti membuat, menghapus, mengupgrade, dan membuat listingan instance. Untuk informasi selengkapnya tentang batasan, lihat Penggabungan identitas tenaga kerja: produk dan batasan yang didukung.