Cloud Composer のセキュリティの概要

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Cloud Composer には、セキュリティ要件が厳しい企業にとって有益なセキュリティ機能とコンプライアンスがいくつか用意されています。

次の 3 つのセクションでは、Cloud Composer のセキュリティ機能について説明します。

基本的なセキュリティ機能

このセクションでは、各 Cloud Composer 環境でデフォルトで提供されるセキュリティ関連の機能を一覧表示します。

保存時の暗号化

Cloud Composer は、Google Cloud における保存データの暗号化を利用します。

Cloud Composer では、データが異なるサービスに保存されます。たとえば、Airflow メタデータ DB では Cloud SQL データベースが使用され、DAG は Cloud Storage バケットに保存されます。

デフォルトで、データは Google が管理する暗号鍵を使用して暗号化されます。

必要に応じて、Cloud Composer 環境は、顧客管理の暗号鍵で暗号化されるように構成できます。

均一なバケットレベルのアクセス

均一なバケットレベルのアクセスを利用すると、Cloud Storage リソースへのアクセスを均一に制御できます。この仕組みは、DAG とプラグインを保存する環境のバケットにも適用されます。

ユーザー権限

Cloud Composer には、ユーザー権限を管理するためのいくつかの機能があります。

  • IAM のロールと権限。Google Cloud プロジェクト内の Cloud Composer 環境には、プロジェクトの IAM にアカウントを追加されているユーザーのみアクセスできます。

  • Cloud Composer 固有のロールと権限。プロジェクト内のユーザー アカウントにこれらのロールと権限を割り当てます。各ロールは、ユーザー アカウントがプロジェクト内の Cloud Composer 環境で実行できるオペレーションの種類を定義します。

  • Airflow UI のアクセス制御プロジェクトのユーザーは、Airflow UI に異なるアクセスレベルを設定できます。このメカニズムは Airflow UI のアクセス制御(Airflow ロールベースのアクセス制御(Airflow RBAC))と呼ばれます。

  • ドメインで制限された共有(DRS)。Cloud Composer は、ドメインで制限された共有の組織ポリシーをサポートしています。このポリシーを使用すると、選択したドメインのユーザーのみが環境にアクセスできます。

プライベート IP 環境

プライベート IP ネットワーキング構成で Cloud Composer 環境を作成できます。

プライベート IP モードでは、環境のクラスターのノードは、外部 IP アドレスを持たず、公共のインターネットを介して通信しません。

環境のクラスタは Shielded VM を使用する

Shielded VM は、ルートキットやブートキットによる攻撃を防御する一連のセキュリティ制御により強化された、Google Cloud 上の仮想マシン(VM)です。

Cloud Composer 環境は、Shielded VM を使用して環境クラスタのノードを実行します。

高度なセキュリティ機能

このセクションでは、Cloud Composer 環境の高度なセキュリティ関連機能について説明します。

顧客管理暗号鍵(CMEK)

Cloud Composer は 顧客管理の暗号鍵(CMEK)をサポートしています。CMEK では、Google Cloud プロジェクト内で保存データの暗号化に使用する鍵をより細かく制御できます。

Cloud Composer で CMEK を使用すると、Cloud Composer 環境で生成されたデータを暗号化および復号できます。

VPC Service Controls(VPC SC)のサポート

VPC Service Controls は、データの引き出しのリスクを軽減する仕組みです。

Cloud Composer を VPC Service Controls の境界内の安全なサービスとして選択できます。Cloud Composer で使用されるすべての基盤となるリソースは、VPC Service Controls アーキテクチャをサポートし、そのルールに従うように構成されます。VPC SC 境界内には、プライベート IP 環境のみを作成できます。

VPC Service Controls で Cloud Composer 環境をデプロイすると、次のメリットが得られます。

  • データ漏洩のリスクの低減。

  • アクセス制御の構成ミスによるデータ漏洩に対する保護。

  • 悪意のあるユーザーが未承認の Google Cloud リソースにデータをコピーする、または外部の攻撃者がインターネットから Google Cloud リソースにアクセスするリスクの軽減。

ウェブサーバー ネットワークのアクセス制御レベル(ACL)

Cloud Composer の Airflow ウェブサーバーは、常に外部からアクセス可能な IP アドレスでプロビジョニングされます。Airflow UI にアクセスできる IP アドレスは制御できます。Cloud Composer は、IPv4 と IPv6 の範囲をサポートします。

Google Cloud コンソール、gcloud、API、Terraform でウェブサーバーのアクセス制限を構成できます。

機密性の高い構成データを格納するストレージとしての Secret Manager

Cloud Composer では、Airflow 接続変数が保存されているバックエンドとして Secret Manager を使用するように Airflow を構成できます。

DAG デベロッパーは、DAG コードから Secret Manager に保存されている変数と接続を読み取ることもできます。

標準の遵守

Cloud Composer がさまざまな標準に準拠していることを確認するには、以下のリンク先のページをご覧ください。

関連情報

この記事で説明するセキュリティ機能の一部は、Airflow Summit 2020 のプレゼンテーションの安全な方法で Airflow DAG を実行するで説明されています。

次のステップ