Proteger tu entorno de Dataproc es fundamental para proteger los datos sensibles y evitar el acceso no autorizado. En este documento, se describen las prácticas recomendadas clave para mejorar tu seguridad en Dataproc, incluidas las recomendaciones para la seguridad de la red, Identity and Access Management, la encriptación y la configuración segura de clústeres.
Seguridad de red
Implementa Dataproc en una VPC privada. Crea una nube privada virtual dedicada para tus clústeres de Dataproc, aíslalos de otras redes y de la Internet pública.
Usa IPs privadas. Para proteger tus clústeres de Dataproc de la exposición a Internet público, usa direcciones IP privadas para mejorar la seguridad y el aislamiento.
Configura reglas de firewall. Implementa reglas de firewall estrictas para controlar el tráfico hacia y desde tus clústeres de Dataproc. Permite solo los puertos y protocolos necesarios.
Usa el intercambio de tráfico entre redes. Para mejorar el aislamiento, establece un intercambio de tráfico entre redes de VPC entre tu VPC de Dataproc y otras VPC sensibles para una comunicación controlada.
Habilita la puerta de enlace de componentes. Habilita la puerta de enlace de componentes de Dataproc cuando crees clústeres para acceder de forma segura a las IU del ecosistema de Hadoop, como la IU del servidor YARN, HDFS o Spark, en lugar de abrir los puertos del firewall.
Administración de identidades y accesos
Aísla los permisos. Usa cuentas de servicio de plano de datos diferentes para diferentes clústeres. Asigna a las cuentas de servicio solo los permisos que los clústeres necesitan para ejecutar sus cargas de trabajo.
Evita depender de la cuenta de servicio predeterminada de Google Compute Engine (GCE). No uses la cuenta de servicio predeterminada para tus clústeres.
Cumplir con el principio de privilegio mínimo Otorga solo los permisos mínimos necesarios a las cuentas de servicio y los usuarios de Dataproc.
Aplica el control de acceso basado en roles (RBAC). Considera configurar los permisos de IAM para cada clúster.
Usa roles personalizados. Crea roles de IAM personalizados detallados adaptados a funciones laborales específicas dentro de tu entorno de Dataproc.
Revisa la información con frecuencia. Audita periódicamente los permisos y roles de IAM para identificar y quitar los privilegios excesivos o sin usar.
Encriptación
Encriptar datos en reposo. Para la encriptación de datos en reposo, usa Cloud Key Management Service (KMS) o claves de encriptación administradas por el cliente (CMEK). Además, usa políticas de la organización para aplicar de manera forzosa la encriptación de datos en reposo para la creación de clústeres.
Encripta los datos en tránsito. Habilita SSL/TLS para la comunicación entre los componentes de Dataproc (habilita el Modo seguro de Hadoop) y los servicios externos. Esto protege los datos en movimiento.
Ten cuidado con los datos sensibles. Ten cuidado cuando almacenes y pases datos sensibles, como PII o contraseñas. Cuando sea necesario, usa soluciones de encriptación y administración de secretos.
Configuración segura del clúster
Realiza la autenticación con Kerberos. Para evitar el acceso no autorizado a los recursos del clúster, implementa el modo seguro de Hadoop con la autenticación de Kerberos. Para obtener más información, consulta Cómo proteger la multitenancy con Kerberos.
Usa una contraseña de la cuenta principal de raíz segura y un almacenamiento basado en KMS. En el caso de los clústeres que usan Kerberos, Dataproc configura automáticamente las funciones de endurecimiento de la seguridad para todos los componentes de código abierto que se ejecutan en el clúster.
Habilita el acceso al SO. Habilita Acceso al SO para obtener mayor seguridad cuando administres nodos de clúster con SSH.
Separa los buckets de etapa de pruebas y temporales en Google Cloud Storage (GCS). Para asegurar el aislamiento de permisos, segrega los buckets temporales y de etapa para cada clúster de Dataproc.
Usa Secret Manager para almacenar credenciales. Secret Manager puede proteger tus datos sensibles, como tus claves de API, contraseñas y certificados. Úsalo para administrar, acceder y auditar tus secretos en Google Cloud.
Usa restricciones organizativas personalizadas. Puedes usar una política de organización personalizada para permitir o denegar operaciones específicas en clústeres de Dataproc. Por ejemplo, si una solicitud para crear o actualizar un clúster no satisface la validación de restricciones personalizadas según lo establecido por la política de tu organización, la solicitud falla y se muestra un error al llamador.
¿Qué sigue?
Obtén más información sobre otras funciones de seguridad de Dataproc:
- Cómo proteger el multiusuario con cuentas de servicio
- Cómo configurar una Confidential VM con encriptación de memoria intercalada
- Activa un servicio de autorización en cada VM del clúster