Managed Airflow(第 3 世代) | Managed Airflow(第 2 世代) | Managed Airflow(以前の第 1 世代)
Managed Airflow には、セキュリティ要件が厳しい企業にとって有益なセキュリティ機能とコンプライアンスがいくつか用意されています。
次の 3 つのセクションでは、Managed Airflow のセキュリティ機能について説明します。
- 基本的なセキュリティ機能。マネージド Airflow 環境でデフォルトで使用できる機能について説明します。
- 高度なセキュリティ機能。セキュリティ要件に合わせて Managed Airflow を変更するために使用できる機能について説明します。
- 標準の遵守。Managed Airflow が準拠している標準のリストを示します。
基本的なセキュリティ機能
このセクションでは、各 Managed Airflow 環境でデフォルトで提供されるセキュリティ関連機能を一覧表示します。
保存時の暗号化
Managed Airflow は、 Google Cloudで保存データの暗号化を利用します。
マネージド Airflow では、データが異なるサービスに保存されます。たとえば、Airflow メタデータ DB では Cloud SQL データベースが使用され、DAG は Cloud Storage バケットに保存されます。
デフォルトでは、データは Google-owned and Google-managed encryption keysを使用して暗号化されます。
必要に応じて、Managed Airflow 環境は、顧客管理の暗号鍵で暗号化されるように構成できます。
均一なバケットレベルのアクセス
均一なバケットレベルのアクセスを利用すると、Cloud Storage リソースへのアクセスを均一に制御できます。この仕組みは、DAG とプラグインを保存する環境のバケットにも適用されます。
ユーザー権限
Managed Airflow には、ユーザー権限を管理するための機能がいくつかあります。
IAM のロールと権限。 Google Cloud プロジェクト内の Managed Airflow 環境には、プロジェクトの IAM にアカウントを追加されているユーザーのみアクセスできます。
マネージド Airflow 固有のロールと権限。これらのロールと権限は、プロジェクトのユーザー アカウントに割り当てます。各ロールは、ユーザー アカウントがプロジェクト内の Managed Airflow 環境で実行できるオペレーションのタイプを定義します。
Airflow UI のアクセス制御プロジェクトのユーザーは、Airflow UI に異なるアクセスレベルを設定できます。このメカニズムは Airflow UI のアクセス制御(Airflow ロールベースのアクセス制御(Airflow RBAC))と呼ばれます。
ドメインで制限された共有(DRS)。Managed Airflow は、ドメインで制限された共有の組織ポリシーをサポートしています。このポリシーを使用すると、選択したドメインのユーザーのみが環境にアクセスできるようになります。
プライベート IP 環境
プライベート IP ネットワーキング構成で Managed Airflow 環境を作成できます。既存の環境をプライベート IP ネットワーキング構成に切り替えることもできます。
プライベート IP モードでは、環境の Airflow コンポーネント(つまり DAG)は公共のインターネットにアクセスできません。VPC ネットワークの構成方法によっては、プライベート IP 環境で VPC ネットワークを介してインターネットにアクセスできます。
環境のクラスタは Shielded VM を使用する
Shielded VM は、ルートキットやブートキットによる攻撃を防御する一連のセキュリティ制御により強化された、 Google Cloud 上の仮想マシン(VM)です。
Managed Airflow 環境は、Shielded VM を使用して環境クラスタのノードを実行します。
高度なセキュリティ機能
このセクションでは、Managed Airflow 環境の高度なセキュリティ関連機能について説明します。
顧客管理の暗号鍵(CMEK)
Managed Airflow は、顧客管理の暗号鍵(CMEK)をサポートしています。CMEK では、 Google Cloud プロジェクト内で保存データの暗号化に使用する鍵をより細かく制御できます。
Managed Airflow で CMEK を使用して、Managed Airflow 環境で生成されたデータを暗号化および復号できます。
VPC Service Controls(VPC SC)のサポート
VPC Service Controls は、データの引き出しのリスクを軽減する仕組みです。
Managed Airflow を VPC Service Controls の境界内の安全なサービスとして選択できます。Managed Airflow で使用されるすべての基盤となるリソースは、VPC Service Controls アーキテクチャをサポートし、そのルールに従うように構成されます。VPC SC 境界内には、プライベート IP 環境のみを作成できます。
VPC Service Controls で Managed Airflow 環境をデプロイすると、次のメリットが得られます。
データ漏洩のリスクの低減。
アクセス制御の構成ミスによるデータ漏洩に対する保護。
悪意のあるユーザーが未承認のGoogle Cloud リソースにデータをコピーしたり、外部の攻撃者がインターネットからGoogle Cloud リソースにアクセスしたりするリスクの軽減。
ウェブサーバー ネットワークのアクセス制御レベル(ACL)
Managed Airflow の Airflow ウェブサーバーは、常に外部からアクセス可能な IP アドレスでプロビジョニングされます。Airflow UI にアクセスできる IP アドレスは制御できます。マネージド Airflow は、IPv4 と IPv6 の範囲をサポートします。
Google Cloud コンソール、gcloud、API、Terraform でウェブサーバーのアクセス制限を構成できます。
機密性の高い構成データを格納するストレージとしての Secret Manager
Managed Airflow では、Airflow 接続変数が保存されているバックエンドとして Secret Manager を使用するように Airflow を構成できます。
DAG デベロッパーは、DAG コードから Secret Manager に保存されている変数と接続を読み取ることもできます。
標準の遵守
Managed Airflow がさまざまな標準に準拠していることを確認するには、以下に示すリンク先のページをご覧ください。
- HIPAA 準拠
- アクセスの透明性
- PCI DSS
- ISO/IEC: 27001, 27017, 27018
- SOC: SOC 1、 SOC 2、 SOC 3
- NIST: NIST800-53、 NIST800-171
- DRZ FedRamp Moderate
- データ所在地/ロケーションの制限 (Managed Airflow の構成ガイド)
関連情報
この記事で説明するセキュリティ機能の一部は、Airflow Summit 2020 のプレゼンテーションの安全な方法で Airflow DAG を実行するで説明されています。