אבטחת הסביבה שלכם ב-Managed Service for Apache Spark היא חיונית להגנה על מידע אישי רגיש ולמניעת גישה לא מורשית. במסמך הזה מפורטות שיטות מומלצות חשובות לשיפור מצב האבטחה של Managed Service for Apache Spark, כולל המלצות לאבטחת רשת, לניהול זהויות וגישה, להצפנה ולהגדרת אשכול מאובטח.
אבטחת רשת
פריסת Managed Service for Apache Spark ב-VPC פרטי. יוצרים ענן וירטואלי פרטי ייעודי לאשכולות של Managed Service for Apache Spark, כדי לבודד אותם מרשתות אחרות ומהאינטרנט הציבורי.
שימוש בכתובות IP פרטיות. כדי להגן על אשכולות Managed Service for Apache Spark מפני חשיפה לאינטרנט הציבורי, מומלץ להשתמש בכתובות IP פרטיות כדי לשפר את האבטחה והבידוד.
הגדרת כללים לחומת אש הטמעת כללי חומת אש מחמירים כדי לשלוט בתעבורה אל אשכולות Managed Service for Apache Spark ומאשכולות כאלה. מאשרים רק את היציאות והפרוטוקולים הנדרשים.
שימוש ב-Network Peering. כדי לשפר את הבידוד, כדאי ליצור קישור בין רשתות VPC שכנות (peering) בין ה-VPC של Managed Service for Apache Spark לבין רשתות VPC רגישות אחרות, כדי לשלוט בתקשורת.
הפעלת Component Gateway. כשיוצרים אשכולות, מומלץ להפעיל את שער הרכיבים של Managed Service for Apache Spark כדי לגשת לממשקי משתמש של מערכת אקולוגית של Hadoop, כמו YARN, HDFS או ממשק המשתמש של שרת Spark, במקום לפתוח את יציאות חומת האש.
ניהול זהויות והרשאות גישה
בידוד הרשאות. משתמשים בחשבונות שירות שונים של מישור הנתונים עבור אשכולות שונים. צריך להקצות לחשבונות שירות רק את ההרשאות שנדרשות לאשכולות כדי להריץ את עומסי העבודה שלהם.
לא מומלץ להסתמך על חשבון השירות שמוגדר כברירת מחדל ב-Google Compute Engine (GCE). אל תשתמשו בחשבון השירות שמוגדר כברירת מחדל עבור האשכולות.
הקפידו על העיקרון של הרשאות מינימליות. צריך להעניק לחשבונות השירות ולמשתמשים ב-Managed Service for Apache Spark רק את ההרשאות המינימליות הנדרשות.
אכיפת בקרת גישה מבוססת תפקידים (RBAC). כדאי להגדיר הרשאות IAM לכל אשכול.
שימוש בתפקידים בהתאמה אישית. יצירת תפקידי IAM בהתאמה אישית עם הרשאות גרנולריות שמותאמים לתפקידים ספציפיים בסביבת Managed Service for Apache Spark.
בדיקה שוטפת. חשוב לבצע ביקורת על ההרשאות והתפקידים ב-IAM באופן קבוע כדי לזהות הרשאות מיותרות או לא בשימוש ולהסיר אותן.
הצפנה
הצפנה של נתונים במנוחה. להצפנת נתונים במנוחה, אפשר להשתמש ב-Cloud Key Management Service (KMS) או במפתחות הצפנה בניהול הלקוח (CMEK). בנוסף, אפשר להשתמש במדיניות ארגונית כדי לאכוף הצפנת נתונים במנוחה כשיוצרים אשכול.
הצפנה של נתונים במעבר. הפעלת SSL/TLS לתקשורת בין רכיבים של Managed Service for Apache Spark (על ידי הפעלת Hadoop Secure Mode) ושירותים חיצוניים. כך אנחנו מגנים על נתונים בתנועה.
חשוב להיזהר ממידע אישי רגיש. צריך לנקוט משנה זהירות כשמאחסנים ומעבירים מידע אישי רגיש כמו פרטים אישיים מזהים (PII) או סיסמאות. במקרים שנדרש, משתמשים בהצפנה ובפתרונות לניהול סודות.
תצורת אשכול מאובטחת
אימות באמצעות Kerberos. כדי למנוע גישה לא מורשית למשאבי אשכול, צריך להטמיע את מצב האבטחה של Hadoop באמצעות אימות Kerberos. מידע נוסף זמין במאמר בנושא אבטחת ריבוי דיירים באמצעות Kerberos.
שימוש בסיסמה חזקה עבור חשבון הניהול ואחסון מאובטח שמבוסס על KMS באשכולות שמשתמשים ב-Kerberos, שירות Managed Service for Apache Spark מגדיר אוטומטית תכונות של אבטחה משופרת לכל רכיבי הקוד הפתוח שפועלים באשכול.
מפעילים את OS Login. מפעילים את OS Login כדי לשפר את האבטחה כשמנהלים צמתי אשכול באמצעות SSH.
הפרדה בין קטגוריות של אחסון זמני וקטגוריות של אחסון לצורך העברה ב-Google Cloud Storage (GCS). כדי להבטיח בידוד הרשאות, צריך להפריד בין מאגרי staging ו-temp לכל אשכול של Managed Service for Apache Spark.
שימוש ב-Secret Manager לאחסון פרטי כניסה. Secret Manager יכול להגן על נתונים רגישים כמו מפתחות API, סיסמאות ואישורים. אפשר להשתמש בו כדי לנהל את הסודות, לגשת אליהם ולבצע בהם ביקורת ב- Google Cloud.
שימוש בהגבלות ארגוניות מותאמות אישית. אתם יכולים להשתמש במדיניות ארגונית בהתאמה אישית כדי לאשר או לדחות פעולות ספציפיות באשכולות של Managed Service for Apache Spark. לדוגמה, אם בקשה ליצור או לעדכן אשכול לא עומדת בדרישות של אימות אילוצים מותאמים אישית שמוגדרים על ידי מדיניות הארגון, הבקשה נכשלת ומוחזרת שגיאה למבצע הקריאה.
המאמרים הבאים
מידע נוסף על תכונות אבטחה אחרות של Managed Service for Apache Spark:
- אבטחת ריבוי דיירים באמצעות חשבונות שירות
- הגדרת Confidential VM עם הצפנת זיכרון מוטבעת
- הפעלת שירות הרשאות בכל מכונה וירטואלית של אשכול