Visão geral da segurança do Airflow Gerenciado

Airflow gerenciado (Geração 3) | Airflow gerenciado (Geração 2) | Airflow gerenciado (Geração 1 legada)

O Airflow gerenciado tem vários recursos de segurança e conformidade que são benéficos para empresas com requisitos de segurança mais rigorosos.

Estas três seções apresentam informações sobre os recursos de segurança do Airflow Gerenciado:

Recursos básicos de segurança

Nesta seção, há uma lista dos recursos de segurança padrão para cada ambiente do Airflow Gerenciado.

Criptografia em repouso

O Airflow gerenciado usa criptografia em repouso em Google Cloud.

O Airflow gerenciado armazena dados em diferentes serviços. Por exemplo, o banco de dados de metadados do Airflow usa o banco de dados do Cloud SQL, e os DAGs são armazenados em buckets do Cloud Storage.

Por padrão, os dados são criptografados usando Google-owned and Google-managed encryption keys.

Se preferir, configure os ambientes do Airflow Gerenciado para serem criptografados com chaves de criptografia gerenciadas pelo cliente.

Acesso uniforme no nível do bucket

O acesso uniforme no nível do bucket permite controlar de maneira uniforme o acesso aos recursos do Cloud Storage. Esse mecanismo também se aplica ao bucket do ambiente, que armazena DAGs e plug-ins.

Permissões do usuário

O Airflow gerenciado tem vários recursos para gerenciar as permissões do usuário:

  • Permissões e papéis do IAM. Os ambientes do Airflow Gerenciado em um projeto do Google Cloud só podem ser acessados por usuários com contas adicionadas ao IAM do projeto.

  • Permissões e papéis gerenciados específicos do Airflow. Você atribui esses papéis e permissões a contas de usuário no projeto. Cada papel define os tipos de operações que uma conta de usuário pode realizar nos ambientes do Airflow Gerenciado no projeto.

  • Controle de acesso à interface do Airflow. Os usuários do projeto podem ter diferentes níveis de acesso na IU do Airflow. Esse mecanismo é chamado de controle de acesso à interface do Airflow (controle de acesso baseado em papéis do Airflow ou RBAC do Airflow).

  • Compartilhamento restrito de domínio (DRS, na sigla em inglês). O Airflow Gerenciado é compatível com a política organizacional de compartilhamento restrito de domínio. Se você usar essa política, somente usuários dos domínios selecionados poderão acessar seus ambientes.

Ambientes de IP privados

É possível criar ambientes do Airflow gerenciado na configuração de rede do IP privado. Também é possível alternar um ambiente atual para a configuração de rede de IP privado.

No modo IP privado, os componentes do Airflow no seu ambiente (e, portanto, os DAGs) não têm acesso à Internet pública. Dependendo de como você configura sua rede VPC, um ambiente de IP privado pode acessar a Internet pela rede VPC.

O cluster do ambiente usa VMs protegidas

As VMs protegidas são máquinas virtuais (VMs) no Google Cloud que têm a proteção aumentada por um conjunto de controles de segurança contra rootkits e bootkits.

Os ambientes do Airflow Gerenciado usam VMs protegidas para executar os nós do cluster de ambiente.

Recursos avançados de segurança

Nesta seção, há uma lista de recursos avançados de segurança dos ambientes do Airflow Gerenciado.

Chaves de criptografia gerenciadas pelo cliente (CMEK)

O Airflow Gerenciado é compatível com chaves de criptografia gerenciadas pelo cliente (CMEK). As CMEKs permitem controlar melhor as chaves usadas para criptografar dados em repouso em um projeto do Google Cloud .

É possível usar CMEKs com o Airflow Gerenciado para criptografar e descriptografar dados gerados por um ambiente do Airflow Gerenciado.

Suporte do VPC Service Controls (VPC SC)

O VPC Service Controls é um mecanismo para reduzir os riscos de exfiltração de dados.

O Airflow Gerenciado pode ser selecionado como um serviço seguro dentro de um perímetro do VPC Service Controls. Todos os recursos subjacentes usados pelo Airflow Gerenciado estão configurados para serem compatíveis com a arquitetura do VPC Service Controls e seguem as regras dele. Somente ambientes de IP privado podem ser criados em um perímetro do VPC SC.

A implantação dos ambientes do Airflow Gerenciado com o VPC Service Controls oferece:

  • Risco reduzido de exfiltração de dados.

  • Proteção contra exposição de dados devido a controles de acesso configurados incorretamente.

  • Risco reduzido de usuários mal-intencionados copiando dados para recursos não autorizados doGoogle Cloud ou invasores externos acessando recursos doGoogle Cloud pela Internet.

Níveis de controle de acess (ACL) à rede do servidor da Web

Os servidores da Web do Airflow no Airflow Gerenciado são sempre provisionados com um endereço IP acessível externamente. É possível controlar de quais endereços IP a IU do Airflow pode ser acessada. O Airflow Gerenciado é compatível com intervalos IPv4 e IPv6.

É possível configurar restrições de acesso ao servidor da Web no console do Google Cloud , no gcloud, na API e no Terraform.

Secret Manager como armazenamento para dados de configuração confidenciais

No Airflow Gerenciado, é possível configurar o Airflow para usar o Secret Manager como um back-end em que as variáveis de conexão do Airflow são armazenadas.

Os desenvolvedores do DAG também podem ler variáveis e conexões armazenadas no Secret Manager no código do DAG.

Conformidade com os padrões

Consulte os links abaixo para verificar a conformidade do Managed Airflow com vários padrões:

Consulte também

Alguns dos recursos de segurança mencionados neste artigo são discutidos na apresentação Airflow Summit 2020: Executar DAGs do Airflow de maneira segura.

A seguir