"Managed Service for Apache Spark" is the new name for the product formerly known as "Dataproc on Compute Engine" (cluster deployment) and "Google Cloud Serverless for Apache Spark" (serverless deployment).

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Best practice per la sicurezza di Managed Service per Apache Spark

Proteggere l'ambiente Managed Service for Apache Spark è fondamentale per proteggere i dati sensibili e impedire l'accesso non autorizzato. Questo documento descrive le best practice chiave per migliorare la tua postura di sicurezza di Managed Service for Apache Spark, inclusi consigli per la sicurezza di rete,Identity and Access Managementsi, la crittografia e la configurazione sicura dei cluster.

Sicurezza di rete

Esegui il deployment di Managed Service for Apache Spark in un VPC privato. Crea un Virtual Private Cloud dedicato per i tuoi cluster Managed Service for Apache Spark, isolandoli da altre reti e da internet pubblico.
Utilizza IP privati. Per proteggere i cluster Managed Service for Apache Spark dall'esposizione a internet pubblico, utilizza indirizzi IP privati per una maggiore sicurezza e isolamento.
Configura le regole firewall. Implementa regole firewall rigorose per controllare il traffico da e verso i tuoi cluster Managed Service for Apache Spark. Consenti solo le porte e i protocolli necessari.
Utilizza il peering di rete. Per un isolamento avanzato, stabilisci il peering di rete VPC tra il tuo VPC Managed Service for Apache Spark e altri VPC sensibili per una comunicazione controllata.
Attiva gateway dei componenti. Attiva il gateway dei componenti di Managed Service for Apache Spark quando crei cluster per accedere in modo sicuro alle UI dell'ecosistema Hadoop, ad esempio YARN, HDFS o Spark Server, anziché aprire le porte del firewall.

Identity and Access Management

Isolare le autorizzazioni. Utilizza account di servizio del data plane diversi per cluster diversi. Assegna ai service account solo le autorizzazioni necessarie ai cluster per eseguire i workload.
Evita di fare affidamento sull'account di servizio predefinito di Google Compute Engine (GCE). Non utilizzare il service account predefinito per i cluster.
Rispetta il principio del privilegio minimo. Concedi solo le autorizzazioni minime necessarie agli utenti e ai service account Managed Service for Apache Spark.
Applica controllo dell'accesso basato sui ruoli (RBAC). Valuta la possibilità di impostare le autorizzazioni IAM per ogni cluster.
Utilizzare i ruoli personalizzati. Crea ruoli IAM personalizzati granulari adatti a funzioni lavorative specifiche all'interno del tuo ambiente Managed Service for Apache Spark.
Rivedi regolarmente. Controlla regolarmente i ruoli e le autorizzazioni IAM per identificare e rimuovere eventuali privilegi eccessivi o inutilizzati.

Crittografia

Crittografare i dati at-rest. Per la crittografia dei dati at-rest, utilizza Cloud Key Management Service (KMS) o chiavi di crittografia gestite dal cliente (CMEK). Inoltre, utilizza le policy dell'organizzazione per applicare la crittografia at-rest per la creazione del cluster.
Cripta i dati in transito. Abilita SSL/TLS per la comunicazione tra i componenti di Managed Service for Apache Spark (abilitando la modalità sicura di Hadoop) e i servizi esterni. In questo modo i dati in movimento sono protetti.
Fai attenzione ai dati sensibili. Presta attenzione quando memorizzi e trasmetti dati sensibili come PII o password. Se necessario, utilizza soluzioni di crittografia e gestione dei secret.

Configurazione sicura del cluster

Esegui l'autenticazione utilizzando Kerberos. Per impedire l'accesso non autorizzato alle risorse del cluster, implementa la modalità protetta di Hadoop utilizzando l'autenticazione Kerberos. Per saperne di più, consulta Multitenancy sicura tramite Kerberos.
Utilizza una password dell'entità root efficace e un archivio sicuro basato su KMS. Per i cluster che utilizzano Kerberos, Managed Service for Apache Spark configura automaticamente le funzionalità di hardening della sicurezza per tutti i componenti open source in esecuzione nel cluster.
Attiva OS Login. Abilita OS Login per una maggiore sicurezza durante la gestione dei nodi del cluster tramite SSH.
Separa i bucket temporanei e di gestione temporanea su Google Cloud Storage (GCS). Per garantire l'isolamento delle autorizzazioni, separa i bucket temporanei e di gestione temporanea per ogni cluster Managed Service for Apache Spark.
Utilizza Secret Manager per archiviare le credenziali. Secret Manager può proteggere i tuoi dati sensibili, come chiavi API, password e certificati. Utilizzalo per gestire, accedere e controllare i tuoi secret in Google Cloud.
Utilizza vincoli organizzativi personalizzati. Puoi utilizzare una policy dell'organizzazione personalizzata per consentire o negare operazioni specifiche sui cluster Managed Service for Apache Spark. Ad esempio, se una richiesta di creazione o aggiornamento di un cluster non soddisfa la convalida dei vincoli personalizzati impostata dalla policy dell'organizzazione, la richiesta non va a buon fine e viene restituito un errore al chiamante.

Passaggi successivi

Scopri di più sulle altre funzionalità di sicurezza di Managed Service for Apache Spark:

Best practice per la sicurezza di Managed Service per Apache Spark Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.