Praktik terbaik keamanan Dataproc

Mengamankan lingkungan Dataproc Anda sangat penting untuk melindungi data sensitif dan mencegah akses tanpa izin. Dokumen ini menguraikan praktik terbaik utama untuk meningkatkan postur keamanan Dataproc Anda, termasuk rekomendasi untuk keamanan jaringan, Identity and Access Management, enkripsi, dan konfigurasi cluster yang aman.

Keamanan jaringan

• Deploy Dataproc di VPC pribadi. Buat Virtual Private Cloud khusus untuk cluster Dataproc Anda, yang mengisolasinya dari jaringan lain dan internet publik.

• Gunakan IP pribadi. Untuk melindungi cluster Dataproc Anda dari eksposur ke internet publik, gunakan alamat IP pribadi untuk meningkatkan keamanan dan isolasi.

• Mengonfigurasi aturan firewall. Terapkan aturan firewall yang ketat untuk mengontrol traffic ke dan dari cluster Dataproc Anda. Hanya izinkan port dan protokol yang diperlukan.

• Gunakan peering jaringan. Untuk isolasi yang ditingkatkan, buat Peering Jaringan VPC antara VPC Dataproc Anda dan VPC sensitif lainnya untuk komunikasi yang terkontrol.

• Aktifkan Gateway Komponen. Aktifkan Gateway Komponen Dataproc saat Anda membuat cluster untuk mengakses UI ekosistem Hadoop dengan aman, seperti UI server YARN, HDFS, atau Spark, bukan membuka port firewall.

Identity and Access Management

• Pisahkan izin. Gunakan akun layanan bidang data yang berbeda untuk cluster yang berbeda. Tetapkan hanya izin yang diperlukan cluster untuk menjalankan beban kerja mereka ke akun layanan.

• Jangan mengandalkan akun layanan default Google Compute Engine (GCE). Jangan gunakan akun layanan default untuk cluster Anda.

• Mematuhi prinsip hak istimewa terendah. Hanya berikan izin minimum yang diperlukan ke pengguna dan akun layanan Dataproc.

• Menerapkan kontrol akses berbasis peran (RBAC). Pertimbangkan untuk menetapkan izin IAM bagi setiap cluster.

• Gunakan peran khusus. Buat peran IAM kustom terperinci yang disesuaikan dengan fungsi tugas tertentu dalam lingkungan Dataproc Anda.

• Tinjau secara rutin. Audit secara rutin izin dan peran IAM untuk mengidentifikasi dan menghapus hak istimewa yang berlebihan atau tidak digunakan.

Enkripsi

• Mengenkripsi data dalam penyimpanan. Untuk enkripsi data dalam penyimpanan, gunakan Cloud Key Management Service (KMS) atau Kunci Enkripsi yang Dikelola Pelanggan (CMEK). Selain itu, gunakan kebijakan organisasi untuk menerapkan enkripsi data dalam penyimpanan untuk pembuatan cluster.

• Mengenkripsi data dalam pengiriman. Aktifkan SSL/TLS untuk komunikasi antara komponen Dataproc (dengan mengaktifkan Hadoop Secure Mode) dan layanan eksternal. Cara ini melindungi data yang bergerak.

• Waspadai data sensitif. Berhati-hatilah saat menyimpan dan meneruskan data sensitif, seperti PII atau sandi. Jika diperlukan, gunakan solusi pengelolaan enkripsi dan secret.

Konfigurasi cluster aman

• Autentikasi menggunakan Kerberos. Untuk mencegah akses tidak sah ke resource cluster, implementasikan Hadoop Secure Mode menggunakan autentikasi Kerberos. Untuk mengetahui informasi selengkapnya, lihat Mengamankan multi-tenancy melalui Kerberos.

• Gunakan sandi utama root yang kuat dan penyimpanan berbasis KMS yang aman. Untuk cluster yang menggunakan Kerberos, Dataproc akan otomatis mengonfigurasi fitur hardening keamanan untuk semua komponen open source yang berjalan dalam cluster.

• Aktifkan login OS. Aktifkan OS Login untuk meningkatkan keamanan saat mengelola node cluster menggunakan SSH.

• Pisahkan staging dan bucket sementara di Google Cloud Storage (GCS). Untuk memastikan isolasi izin, pisahkan bucket staging dan sementara untuk setiap cluster Dataproc.

• Gunakan Secret Manager untuk menyimpan kredensial. Secret Manager dapat mengamankan data sensitif Anda, seperti kunci API, sandi, dan sertifikat. Gunakan layanan ini untuk mengelola, mengakses, dan mengaudit secret Anda di Google Cloud.

• Menggunakan batasan organisasi kustom. Anda dapat menggunakan kebijakan organisasi kustom untuk mengizinkan atau menolak operasi tertentu di cluster Dataproc. Misalnya, jika permintaan untuk membuat atau memperbarui cluster gagal memenuhi validasi batasan khusus seperti yang ditetapkan oleh kebijakan organisasi Anda, permintaan tersebut akan gagal dan pesan error akan ditampilkan ke pemanggil.

Langkah selanjutnya

Pelajari fitur keamanan Dataproc lainnya lebih lanjut:

• Mengamankan multi-tenancy melalui akun layanan
• Menyiapkan Confidential VM dengan enkripsi memori inline
• Mengaktifkan layanan otorisasi pada setiap VM cluster