Untuk lebih mendukung kesuksesan dan preferensi pelanggan yang terus meningkat terhadap solusi OSS, Cloud Composer berkembang menjadi Managed Service for Apache Airflow. Perubahan nama ini meningkatkan pemahaman pelanggan tentang portofolio kami sekaligus memperkuat komitmen kami untuk menjadi ekosistem cloud yang paling terbuka.

Ringkasan keamanan Managed Airflow

Managed Airflow (Gen 3) | Managed Airflow (Gen 2) | Managed Airflow (Legacy Gen 1)

Managed Airflow menawarkan sejumlah fitur keamanan dan kepatuhan yang bermanfaat bagi perusahaan dengan persyaratan keamanan yang lebih ketat.

Ketiga bagian ini menyajikan informasi tentang fitur keamanan Managed Airflow:

Fitur keamanan dasar. Menjelaskan fitur yang tersedia di lingkungan Managed Airflow secara default.
Fitur keamanan lanjutan. Menjelaskan fitur yang dapat Anda gunakan untuk mengubah Managed Airflow sesuai dengan persyaratan keamanan Anda.
Kepatuhan terhadap standar. Menyediakan daftar standar yang dipatuhi Managed Airflow.

Fitur keamanan dasar

Bagian ini mencantumkan fitur terkait keamanan yang disediakan secara default untuk setiap lingkungan Managed Airflow.

Enkripsi dalam penyimpanan

Managed Airflow menggunakan enkripsi dalam penyimpanan di Google Cloud.

Managed Airflow menyimpan data di berbagai layanan. Misalnya, DB Metadata Airflow menggunakan database Cloud SQL, DAG disimpan di bucket Cloud Storage.

Secara default, data dienkripsi menggunakan Google-owned and Google-managed encryption keys.

Jika mau, Anda dapat mengonfigurasi lingkungan Managed Airflow agar dienkripsi dengan kunci enkripsi yang dikelola pelanggan.

Akses level bucket yang seragam

Akses level bucket yang seragam memungkinkan Anda mengontrol akses ke resource Cloud Storage secara seragam. Mekanisme ini juga berlaku untuk bucket lingkungan Anda, yang menyimpan DAG dan plugin Anda.

Izin pengguna

Managed Airflow memiliki beberapa fitur untuk mengelola izin pengguna:

Peran dan izin IAM. Lingkungan Airflow terkelola di project hanya dapat diakses oleh pengguna yang akunnya ditambahkan ke IAM project. Google Cloud
Peran dan izin khusus Managed Airflow. Anda menetapkan peran dan izin ini ke akun pengguna di project Anda. Setiap peran menentukan jenis operasi yang dapat dilakukan akun pengguna pada lingkungan Managed Airflow di project Anda.
Kontrol Akses UI Airflow. Pengguna dalam project Anda dapat memiliki tingkat akses yang berbeda di UI Airflow. Mekanisme ini disebut Kontrol Akses UI Airflow (Kontrol Akses Berbasis Peran Airflow, atau RBAC Airflow).
Berbagi dengan Domain Terbatas (DRS). Managed Airflow mendukung kebijakan organisasi Berbagi yang Dibatasi Domain. Jika Anda menggunakan kebijakan ini, hanya pengguna dari domain yang dipilih yang dapat mengakses lingkungan Anda.

Lingkungan IP pribadi

Anda dapat membuat lingkungan Managed Airflow dalam konfigurasi jaringan IP Pribadi.

Dalam mode IP Pribadi, node cluster lingkungan Anda tidak memiliki alamat IP eksternal dan tidak berkomunikasi melalui internet publik.

Cluster lingkungan Anda menggunakan Shielded VM

Shielded VM adalah virtual machine (VM) di Google Cloud yang telah melalui proses hardening oleh serangkaian kontrol keamanan yang membantu memberikan pertahanan dari rootkit dan bootkit.

Lingkungan Managed Airflow (Gen 1 Lama) yang dibuat berdasarkan GKE versi 1.18 dan yang lebih baru menggunakan Shielded VM untuk menjalankan node cluster lingkungannya.

Fitur keamanan lanjutan

Bagian ini mencantumkan fitur lanjutan terkait keamanan untuk lingkungan Airflow Terkelola.

Kunci Enkripsi yang Dikelola Pelanggan (CMEK)

Managed Airflow mendukung Kunci Enkripsi yang Dikelola Pelanggan (CMEK). CMEK memberi Anda lebih banyak kontrol atas kunci yang digunakan untuk mengenkripsi data dalam penyimpanan dalam project Google Cloud .

Anda dapat menggunakan CMEK dengan Managed Airflow untuk mengenkripsi dan mendekripsi data yang dihasilkan oleh lingkungan Managed Airflow.

Dukungan Kontrol Layanan VPC (VPC SC)

Kontrol Layanan VPC adalah mekanisme untuk mengurangi risiko pemindahan data yang tidak sah.

Managed Airflow dapat dipilih sebagai layanan yang diamankan di dalam perimeter Kontrol Layanan VPC. Semua resource pokok yang digunakan oleh Managed Airflow dikonfigurasi untuk mendukung arsitektur Kontrol Layanan VPC dan mengikuti aturannya. Hanya lingkungan IP Pribadi yang dapat dibuat di perimeter SC VPC.

Men-deploy lingkungan Managed Airflow dengan Kontrol Layanan VPC memberi Anda:

Mengurangi risiko pemindahan data yang tidak sah.
Perlindungan terhadap eksposur data karena kontrol akses yang salah dikonfigurasi.
Mengurangi risiko pengguna berbahaya menyalin data ke resource yang tidak sah, atau penyerang eksternal mengakses resource dari internet.Google Cloud Google Cloud

Tingkat kontrol akses jaringan server web (ACL)

Server web Airflow di Managed Airflow selalu disediakan dengan alamat IP yang dapat diakses secara eksternal. Anda dapat mengontrol dari alamat IP mana UI Airflow dapat diakses. Managed Airflow mendukung rentang IPv4 dan IPv6.

Anda dapat mengonfigurasi batasan akses server web di konsol Google Cloud , gcloud, API, dan Terraform.

Secret Manager sebagai penyimpanan untuk data konfigurasi sensitif

Di Managed Airflow, Anda dapat mengonfigurasi Airflow untuk menggunakan Secret Manager sebagai backend tempat variabel koneksi Airflow disimpan.

Developer DAG juga dapat membaca variabel dan koneksi yang disimpan di Secret Manager dari kode DAG.

Kepatuhan terhadap standar

Lihat halaman yang ditautkan di bawah untuk memeriksa kepatuhan Managed Airflow terhadap berbagai standar:

Kepatuhan terhadap HIPAA
Transparansi Akses
PCI DSS
ISO/IEC: 27001, 27017, 27018
SOC: SOC 1, SOC 2, SOC 3
NIST: NIST800-53, NIST800-171
DRZ FedRamp Moderate
Pembatasan Lokasi/Retensi Data (panduan konfigurasi untuk Managed Airflow)

Lihat juga

Beberapa fitur keamanan yang disebutkan dalam artikel ini dibahas dalam presentasi Airflow Summit 2020: Run Airflow DAGs in a secure way.

Ringkasan keamanan Managed Airflow Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.