Descripción general de la seguridad de Managed Airflow

Airflow administrado (gen. 3) | Airflow administrado (gen. 2) | Airflow administrado (gen. 1 heredada)

Managed Airflow ofrece algunos cumplimientos y características de seguridad que son beneficiosos para empresas empresariales con requisitos de seguridad más estrictos.

En estas tres secciones, se presenta información sobre las funciones de seguridad de Managed Airflow:

Funciones básicas de seguridad

En esta sección, se enumeran las funciones relacionadas con la seguridad que se proporcionan de forma predeterminada para cada entorno de Airflow administrado.

Encriptación en reposo

Managed Airflow utiliza la encriptación en reposo en Google Cloud.

Managed Airflow almacena datos en diferentes servicios. Por ejemplo, la base de datos de metadatos de Airflow usa la base de datos de Cloud SQL, y los DAG se almacenan en buckets de Cloud Storage.

De forma predeterminada, los datos se encriptan con Google-owned and Google-managed encryption keys.

Si lo prefieres, puedes configurar los entornos de Managed Airflow para que se encripten con claves de encriptación administradas por el cliente.

Acceso uniforme a nivel de bucket

El acceso uniforme a nivel de bucket te permite controlar de manera uniforme el acceso a tus recursos de Cloud Storage. Este mecanismo también se aplica al bucket de tu entorno, que almacena tus DAG y complementos.

Permisos de usuario

Managed Airflow tiene varias funciones para administrar los permisos de los usuarios:

  • Permisos y roles de IAM Solo los usuarios cuyas cuentas se agreguen a IAM del proyecto pueden acceder a los entornos de Airflow administrados en un proyecto de Google Cloud .

  • Roles y permisos específicos de Airflow administrado Asigna estos roles y permisos a las cuentas de usuario de tu proyecto. Cada rol define los tipos de operaciones que una cuenta de usuario puede realizar en los entornos de Managed Airflow de tu proyecto.

  • Control de acceso a la IU de Airflow Los usuarios de tu proyecto pueden tener diferentes niveles de acceso en la IU de Airflow. Este mecanismo se denomina Control de acceso a la IU de Airflow (control de acceso basado en roles de Airflow o RBAC de Airflow).

  • Uso compartido restringido al dominio (DRS). Airflow administrado admite la política de la organización de uso compartido restringido del dominio. Si usas esta política, solo los usuarios de los dominios seleccionados podrán acceder a tus entornos.

Entornos de IP privada

Puedes crear entornos de Managed Airflow en la configuración de redes de IP privada. También es posible cambiar un entorno existente a la configuración de herramientas de redes de IP privada.

En el modo de IP privada, los componentes de Airflow de tu entorno (y, por lo tanto, tus DAGs) no tienen acceso a Internet pública. Según cómo configures tu red de VPC, un entorno de IP privada puede obtener acceso a Internet a través de tu red de VPC.

El clúster de tu entorno usa VMs protegidas

Las VM protegidas son máquinas virtuales (VM) en Google Cloud endurecidas por un conjunto de controles de seguridad que ayudan a protegerlas de los rootkits y bootkits.

Los entornos de Managed Airflow usan VM protegidas para ejecutar los nodos de su clúster de entorno.

Funciones de seguridad avanzadas

En esta sección, se enumeran las funciones avanzadas relacionadas con la seguridad para los entornos de Airflow administrados.

Claves de encriptación administradas por el cliente (CMEK)

Managed Airflow admite claves de encriptación administradas por el cliente (CMEK). Las CMEK te brindan más control sobre las claves que se usan para encriptar datos en reposo dentro de un proyecto de Google Cloud .

Puedes usar CMEK con Managed Airflow para encriptar y desencriptar los datos que genera un entorno de Managed Airflow.

Compatibilidad con los Controles del servicio de VPC (VPC SC)

Los Controles del servicio de VPC son un mecanismo para mitigar los riesgos de robo de datos.

Ahora se puede seleccionar Managed Airflow como un servicio protegido dentro de un perímetro de Controles del servicio de VPC. Todos los recursos subyacentes que usa Managed Airflow se configuran para admitir la arquitectura de los Controles del servicio de VPC y seguir sus reglas. En un perímetro de VPC SC, solo se pueden crear entornos de IP privada.

Implementar entornos de Airflow administrado con los Controles del servicio de VPC te proporciona lo siguiente:

  • Reducción del riesgo de robo de datos

  • Protección contra la exposición de datos debido a controles de acceso mal configurados

  • Reducción del riesgo de que usuarios maliciosos copien datos a recursos no autorizados deGoogle Cloud , o ante atacantes externos que acceden a recursos deGoogle Cloud desde Internet.

Niveles de control de acceso a la red del servidor web (LCA)

Los servidores web de Airflow en Managed Airflow siempre se aprovisionan con una dirección IP accesible de forma externa. Puedes controlar desde qué direcciones IP se puede acceder a la IU de Airflow. Managed Airflow admite rangos de IPv4 e IPv6.

Puedes configurar restricciones de acceso al servidor web en la consola de Google Cloud , gcloud, la API y Terraform.

Secret Manager como almacenamiento para datos de configuración sensibles

En Managed Airflow, puedes configurar Airflow para que use Secret Manager como backend en el que se almacenan las variables de conexión de Airflow.

Los desarrolladores de DAG también pueden leer variables y conexiones almacenadas en Secret Manager desde el código del DAG.

Cumplimiento de los estándares

Consulta las páginas vinculadas a continuación para verificar el cumplimiento de Managed Airflow con diversos estándares:

También consulta lo siguiente:

Algunas de las funciones de seguridad que se mencionan en este artículo se analizan en la presentación de la Cumbre de Airflow 2020: Ejecuta DAGs de Airflow de forma segura.

¿Qué sigue?