Airflow gerenciado (Geração 3) | Airflow gerenciado (Geração 2) | Airflow gerenciado (Geração 1 legada)
O Airflow gerenciado tem vários recursos de segurança e conformidade que são benéficos para empresas com requisitos de segurança mais rigorosos.
Estas três seções apresentam informações sobre os recursos de segurança do Airflow gerenciado:
- Recursos básicos de segurança. Descreve os recursos disponíveis nos ambientes do Airflow gerenciado por padrão.
- Recursos avançados de segurança. Descreve os recursos que podem ser usados para modificar o Airflow gerenciado de acordo com seus requisitos de segurança.
- Conformidade com os padrões. Fornece uma lista de padrões compatíveis com o Airflow gerenciado.
Recursos básicos de segurança
Nesta seção, há uma lista dos recursos de segurança padrão para cada ambiente do Airflow gerenciado.
Criptografia em repouso
O Airflow gerenciado usa criptografia em repouso em Google Cloud.
O Airflow gerenciado armazena dados em diferentes serviços. Por exemplo, o banco de dados de metadados do Airflow usa o banco de dados do Cloud SQL, e os DAGs são armazenados em buckets do Cloud Storage.
Por padrão, os dados são criptografados usando Google-owned and Google-managed encryption keys.
Se preferir, configure os ambientes do Airflow gerenciado para serem criptografados com chaves de criptografia gerenciadas pelo cliente.
Acesso uniforme no nível do bucket
O acesso uniforme no nível do bucket permite controlar de maneira uniforme o acesso aos recursos do Cloud Storage. Esse mecanismo também se aplica ao bucket do ambiente, que armazena DAGs e plug-ins.
Permissões do usuário
O Airflow gerenciado tem vários recursos para gerenciar as permissões do usuário:
Permissões e papéis do IAM. Os ambientes do Airflow gerenciado em um Google Cloud projeto só podem ser acessados por usuários com contas adicionadas ao IAM do projeto.
Papéis e permissões específicos do Airflow gerenciado. Você atribui esses papéis e permissões a contas de usuário no projeto. Cada papel define os tipos de operações que uma conta de usuário pode realizar nos ambientes do Airflow gerenciado no projeto.
Controle de acesso da IU do Airflow. Os usuários do projeto podem ter diferentes níveis de acesso na IU do Airflow. Esse mecanismo é chamado de controle de acesso da IU do Airflow (controle de acesso baseado em papéis do Airflow ou RBAC do Airflow).
Compartilhamento restrito de domínio (DRS, na sigla em inglês). O Airflow gerenciado é compatível com a política organizacional de compartilhamento restrito de domínio. Se você usar essa política, somente usuários dos domínios selecionados poderão acessar seus ambientes.
Ambientes de IP privados
É possível criar ambientes do Airflow gerenciado na configuração de rede do IP privado.
No modo de IP privado, os nós do cluster do ambiente não têm endereços IP externo e não se comunicam por meio da Internet pública.
O cluster do ambiente usa VMs protegidas
VMs protegidas são máquinas virtuais (VMs, na sigla em inglês) no Google Cloud que contam com um conjunto de controles de segurança contra rootkits e bootkits.
Os ambientes do Airflow gerenciado (Geração 1 legada) criados com base nas versões 1.18 e posteriores do GKE usam VMs protegidas para executar os nós do cluster de ambiente.
Recursos avançados de segurança
Nesta seção, há uma lista recursos avançados de segurança dos ambientes do Airflow gerenciado.
Chaves de criptografia gerenciadas pelo cliente (CMEK)
O Airflow gerenciado é compatível com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). As CMEKs permitem controlar melhor as chaves usadas para criptografar dados em repouso em um Google Cloud projeto.
É possível usar CMEKs com o Airflow gerenciado para criptografar e descriptografar dados gerados por um ambiente do Airflow gerenciado.
Suporte do VPC Service Controls (VPC SC)
O VPC Service Controls é um mecanismo para reduzir os riscos de exfiltração de dados.
O Airflow gerenciado pode ser selecionado como um serviço seguro dentro de um perímetro do VPC Service Controls. Todos os recursos subjacentes usados pelo Airflow gerenciado estão configurados para serem compatíveis com a arquitetura do VPC Service Controls e seguem as regras dela. Somente ambientes de IP privado podem ser criados em um perímetro do VPC SC.
A implantação dos ambientes do Airflow gerenciado com o VPC Service Controls oferece:
Risco reduzido de exfiltração de dados.
Proteção contra exposição de dados devido a controles de acesso configurados incorretamente.
Risco reduzido de usuários mal-intencionados copiando dados para recursos não autorizados Google Cloud ou invasores externos acessando Google Cloud recursos da Internet.
Níveis de controle de acesso (ACL) à rede do servidor da Web
Os servidores da Web do Airflow no Airflow gerenciado são sempre provisionados com um endereço IP acessível externamente. É possível controlar de quais endereços IP a IU do Airflow pode ser acessada. O Airflow gerenciado é compatível com intervalos IPv4 e IPv6.
É possível configurar restrições de acesso ao servidor da Web
no Google Cloud console, gcloud, na API e no Terraform.
Secret Manager como armazenamento para dados de configuração confidenciais
No Airflow gerenciado, é possível configurar o Airflow para usar o Secret Manager como um back-end em que as variáveis de conexão do Airflow são armazenadas.
Os desenvolvedores do DAG também podem ler variáveis e conexões armazenadas no Secret Manager no código do DAG.
Conformidade com os padrões
Consulte os links abaixo para verificar a conformidade do Airflow gerenciado com vários padrões:
- Compliance com a HIPAA
- Transparência no acesso
- PCI DSS
- ISO/IEC: 27001, 27017, 27018
- SOC: SOC 1, SOC 2, SOC 3
- NIST: NIST800-53, NIST800-171
- DRZ FedRamp de nível médio
- Restrições de localização/residência de dados (guia de configuração do Airflow gerenciado)
Consulte também
Alguns dos recursos de segurança mencionados neste artigo são discutidos na apresentação Airflow Summit 2020: Executar DAGs do Airflow de maneira segura.