"Managed Service for Apache Spark" adalah nama baru untuk produk yang sebelumnya dikenal sebagai "Dataproc on Compute Engine" (deployment cluster) dan "Google Cloud Serverless for Apache Spark" (deployment serverless).

Praktik terbaik keamanan Managed Service for Apache Spark

Mengamankan lingkungan Managed Service untuk Apache Spark sangat penting untuk melindungi data sensitif dan mencegah akses yang tidak sah. Dokumen ini menguraikan praktik terbaik utama untuk meningkatkan postur keamanan Managed Service untuk Apache Spark Anda, termasuk rekomendasi untuk keamanan jaringan, Pengelolaan Akses dan Identitas, enkripsi, dan konfigurasi cluster yang aman.

Keamanan jaringan

Deploy Managed Service for Apache Spark di VPC pribadi. Buat Virtual Private Cloud khusus untuk cluster Managed Service for Apache Spark Anda, sehingga mengisolasinya dari jaringan lain dan internet publik.
Gunakan IP pribadi. Untuk melindungi cluster Managed Service untuk Apache Spark Anda dari eksposur ke internet publik, gunakan alamat IP pribadi untuk meningkatkan keamanan dan isolasi.
Konfigurasi aturan firewall. Terapkan aturan firewall yang ketat untuk mengontrol traffic ke dan dari cluster Managed Service untuk Apache Spark Anda. Izinkan hanya port dan protokol yang diperlukan.
Gunakan peering jaringan. Untuk isolasi yang ditingkatkan, buat Peering Jaringan VPC antara Managed Service for Apache Spark VPC dan VPC sensitif lainnya untuk komunikasi yang terkontrol.
Aktifkan Gateway Komponen. Aktifkan Managed Service for Apache Spark Component Gateway saat Anda membuat cluster untuk mengakses UI ekosistem Hadoop secara aman, seperti YARN, HDFS, atau UI server Spark, alih-alih membuka port firewall.

Identity and Access Management

Mengisolasi izin. Gunakan akun layanan bidang data yang berbeda untuk cluster yang berbeda. Tetapkan hanya izin yang diperlukan cluster untuk menjalankan workload-nya ke akun layanan.
Hindari mengandalkan akun layanan default Google Compute Engine (GCE). Jangan gunakan akun layanan default untuk cluster Anda.
Patuhi prinsip hak istimewa terendah. Berikan hanya izin minimum yang diperlukan kepada akun layanan dan pengguna Managed Service for Apache Spark.
Terapkan kontrol akses berbasis peran (RBAC). Pertimbangkan untuk menetapkan izin IAM untuk setiap cluster.
Menggunakan peran khusus. Buat peran IAM kustom terperinci yang disesuaikan dengan fungsi tugas tertentu dalam lingkungan Managed Service untuk Apache Spark Anda.
Tinjau secara rutin. Audit izin dan peran IAM secara rutin untuk mengidentifikasi dan menghapus hak istimewa yang berlebihan atau tidak digunakan.

Enkripsi

Mengenkripsi data dalam penyimpanan. Untuk enkripsi data dalam penyimpanan, gunakan Cloud Key Management Service (KMS) atau Kunci Enkripsi yang Dikelola Pelanggan (CMEK). Selain itu, gunakan kebijakan organisasi untuk menerapkan enkripsi data dalam penyimpanan untuk pembuatan cluster.
Enkripsi data dalam pengiriman. Aktifkan SSL/TLS untuk komunikasi antara komponen Managed Service for Apache Spark (dengan mengaktifkan Hadoop Secure Mode) dan layanan eksternal. Hal ini melindungi data dalam pergerakan.
Waspadai data sensitif. Berhati-hatilah saat menyimpan dan meneruskan data sensitif seperti PII atau sandi. Jika diperlukan, gunakan enkripsi dan solusi pengelolaan secret.

Konfigurasi cluster yang aman

Lakukan autentikasi menggunakan Kerberos. Untuk mencegah akses tidak sah ke resource cluster, terapkan Hadoop Secure Mode menggunakan autentikasi Kerberos. Untuk informasi selengkapnya, lihat Mengamankan multi-tenancy melalui Kerberos.
Gunakan sandi utama root yang kuat dan penyimpanan berbasis KMS yang aman. Untuk cluster yang menggunakan Kerberos, Managed Service untuk Apache Spark secara otomatis mengonfigurasi fitur penguatan keamanan untuk semua komponen open source yang berjalan di cluster.
Aktifkan login OS. Aktifkan Login OS untuk keamanan tambahan saat mengelola node cluster menggunakan SSH.
Pisahkan bucket penyiapan dan sementara di Google Cloud Storage (GCS). Untuk memastikan isolasi izin, pisahkan bucket staging dan bucket sementara untuk setiap cluster Managed Service untuk Apache Spark.
Gunakan Secret Manager untuk menyimpan kredensial. Secret Manager dapat melindungi data sensitif Anda, seperti kunci API, sandi, dan sertifikat. Gunakan untuk mengelola, mengakses, dan mengaudit secret Anda di seluruh Google Cloud.
Menggunakan batasan organisasi kustom. Anda dapat menggunakan kebijakan organisasi kustom untuk mengizinkan atau menolak operasi tertentu pada cluster Managed Service untuk Apache Spark. Misalnya, jika permintaan untuk membuat atau mengupdate cluster gagal memenuhi validasi batasan kustom sebagaimana ditetapkan oleh kebijakan organisasi Anda, permintaan akan gagal dan error akan ditampilkan kepada pemanggil.

Langkah berikutnya

Pelajari lebih lanjut fitur keamanan Managed Service untuk Apache Spark lainnya:

Praktik terbaik keamanan Managed Service for Apache Spark Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.