המלצות בנושא אבטחה
לעומסי עבודה שנדרש עבורם גבול אבטחה חזק או בידוד, כדאי לשקול את האפשרויות הבאות:
כדי לאכוף בידוד קפדני, צריך להציב עומסי עבודה (workloads) רגישים מבחינת אבטחה בפרויקט Google Cloud אחר.
כדי לשלוט בגישה למשאבים ספציפיים, צריך להפעיל בקרת גישה מבוססת-תפקידים במופעים של Cloud Data Fusion.
כדי לוודא שהגישה למופע לא תהיה ציבורית וכדי לצמצם את הסיכון לזליגת מידע אישי רגיש, מומלץ להפעיל כתובות IP פנימיות וVPC Service Controls (VPC-SC) במופעים.
אימות
ממשק האינטרנט של Cloud Data Fusion תומך במנגנוני אימות שנתמכים על ידי Google Cloud המסוף, והגישה נשלטת באמצעות ניהול זהויות והרשאות גישה.
אמצעי בקרה לניהול הרשת
אתם יכולים ליצור מופע פרטי של Cloud Data Fusion, שאפשר לחבר לרשת ה-VPC שלכם באמצעות קישור בין רשתות VPC שכנות או Private Service Connect. למכונות Data Fusion בענן פרטי יש כתובת IP פנימית, והן לא חשופות לאינטרנט הציבורי. אפשר להשתמש ב-VPC Service Controls כדי להגדיר גבולות גזרה מסביב למופע פרטי של Cloud Data Fusion, וכך להוסיף עוד שכבת אבטחה.
מידע נוסף זמין במאמר סקירה כללית על רשתות ב-Cloud Data Fusion.
הפעלת צינורות באשכולות של Managed Service for Apache Spark עם כתובות IP פנימיות שנוצרו מראש
אתם יכולים להשתמש במכונת Cloud Data Fusion פרטית עם הכלי להקצאת משאבי Hadoop מרחוק. האשכול של Managed Service for Apache Spark צריך להיות ברשת VPC שמקושרת ל-Cloud Data Fusion. הכלי המרוחק להקצאת משאבים של Hadoop מוגדר עם כתובת ה-IP הפנימית של צומת הראשי באשכול Managed Service for Apache Spark.
בקרת גישה
ניהול הגישה למופע Cloud Data Fusion: מופעים עם RBAC תומכים בניהול גישה ברמת מרחב השמות באמצעות ניהול זהויות והרשאות גישה. במקרים שבהם RBAC מושבת, אפשר לנהל את הגישה רק ברמת המופע. אם יש לכם גישה למופע, יש לכם גישה לכל צינורות הנתונים ולמטא-נתונים באותו מופע.
גישה של צינור עיבוד נתונים לנתונים שלכם: הגישה של צינור עיבוד נתונים לנתונים ניתנת באמצעות הענקת גישה לחשבון שירות, שיכול להיות חשבון שירות מותאם אישית שאתם מציינים.
כללי חומת אש
כשמריצים צינור, אתם שולטים בתעבורת הנתונים הנכנסת והיוצאת על ידי הגדרת הכללים המתאימים בחומת האש ב-VPC של הלקוח שבו הצינור מורץ.
אחסון מפתחות
סיסמאות, מפתחות ונתונים אחרים מאוחסנים בצורה מאובטחת ב-Cloud Data Fusion ומוצפנים באמצעות מפתחות שמאוחסנים ב-Cloud Key Management Service. בזמן הריצה, Cloud Data Fusion קורא ל-Cloud Key Management Service כדי לאחזר את המפתח שמשמש לפענוח הסודות המאוחסנים.
הצפנה
כברירת מחדל, הנתונים מוצפנים במנוחה באמצעות Google-owned and Google-managed encryption keys, ובזמן ההעברה באמצעות TLS v1.2. אתם משתמשים במפתחות הצפנה בניהול הלקוח (CMEK) כדי לשלוט בנתונים שנכתבים על ידי צינורות עיבוד הנתונים של Cloud Data Fusion, כולל מטא-נתונים של אשכול Managed Service for Apache Spark ומקורות ויעדים של נתונים ב-Cloud Storage, ב-BigQuery וב-Pub/Sub.
חשבונות שירות
צינורות של Cloud Data Fusion מופעלים באשכולות של Managed Service for Apache Spark בפרויקט של הלקוח, ואפשר להגדיר אותם להפעלה באמצעות חשבון שירות מותאם אישית שהלקוח מציין. צריך להקצות לחשבון שירות בהתאמה אישית את התפקיד משתמש בחשבון שירות.
פרויקטים
שירותי Cloud Data Fusion נוצרים בפרויקטים של דיירים בניהול Google, שמשתמשים לא יכולים לגשת אליהם. צינורות עיבוד הנתונים של Cloud Data Fusion מופעלים באשכולות של Managed Service for Apache Spark בתוך פרויקטים של לקוחות. הלקוחות יכולים לגשת לאשכולות האלה במהלך משך החיים שלהם.
יומני ביקורת
יומני הביקורת של Cloud Data Fusion זמינים ב-Logging.
תוספים ופריטי מידע שנוצרו בתהליך פיתוח (Artifact)
אופרטורים ואדמינים צריכים להיזהר מהתקנה של תוספים או ארטיפקטים לא מהימנים, כי הם עלולים להוות סיכון אבטחה.
איחוד שירותי אימות הזהות של כוח העבודה
משתמשים שמחוברים באמצעות איחוד שירותי אימות הזהות של כוח העבודה יכולים לבצע פעולות ב-Cloud Data Fusion, כמו יצירה, מחיקה, שדרוג ורישום של מכונות. מידע נוסף על מגבלות זמין במאמר איחוד שירותי אימות הזהות של כוח עבודה: מוצרים נתמכים ומגבלות.