Cloud Composer 安全性總覽

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

Cloud Composer 提供多項安全性功能和法規遵循機制，可協助有更嚴格安全性需求的企業公司。

以下三個部分會說明 Cloud Composer 的安全性功能：

• 基本安全防護功能。說明 Cloud Composer 環境中預設可用的功能。
• 進階安全性功能。說明可用於根據安全性需求修改 Cloud Composer 的功能。
• 符合標準。提供 Cloud Composer 符合的標準清單。

基本安全防護功能

本節列出每個 Cloud Composer 環境預設提供的安全性相關功能。

靜態資料加密

Cloud Composer 會使用 Google Cloud中的靜態資料加密。

Cloud Composer 會將資料儲存在不同服務中。舉例來說，Airflow 中繼資料資料庫會使用 Cloud SQL 資料庫，DAG 則儲存在 Cloud Storage 值區中。

根據預設，系統會使用 Google-owned and Google-managed encryption keys加密資料。

如有需要，您可以設定 Cloud Composer 環境，以客戶管理的加密金鑰進行加密。

統一值區層級存取權

統一 bucket 層級存取權可讓您統一控管 Cloud Storage 資源的存取權。這個機制也適用於環境的值區，用於儲存 DAG 和外掛程式。

使用者權限

Cloud Composer 提供多項功能，可用來管理使用者權限：

• 身分與存取權管理角色和權限。只有帳戶已新增至專案 IAM 的使用者，才能存取 Google Cloud 專案中的 Cloud Composer 環境。

• Cloud Composer 專屬角色和權限。您可以將這些角色和權限指派給專案中的使用者帳戶。每個角色都會定義使用者帳戶可在專案的 Cloud Composer 環境中執行的作業類型。

• Airflow UI 存取權控管。專案中的使用者可以在 Airflow UI 中擁有不同的存取層級。這個機制稱為 Airflow UI 存取權控管 (Airflow 角色型存取權控管，或 Airflow RBAC)。

• 網域限定共用 (DRS)。Cloud Composer 支援網域限定共用機構政策。如果您使用這項政策，只有所選網域的使用者才能存取您的環境。

私人 IP 環境

您可以在私人 IP 網路設定中建立 Cloud Composer 環境。

在私人 IP 模式中，環境叢集的節點沒有外部 IP 位址，也不會透過公開網際網路進行通訊。

環境的叢集使用受防護的 VM

受防護的 VM 是 Google Cloud 由一組安全控管機制強化的虛擬機器 (VM)，有助抵禦 Rootkit 與 Bootkit 攻擊。

Cloud Composer 環境會使用遮罩 VM 執行環境叢集的節點。

進階安全性功能

本節列出 Cloud Composer 環境的進階安全性相關功能。

客戶自行管理的加密金鑰 (CMEK)

Cloud Composer 支援客戶管理的加密金鑰 (CMEK)。透過 CMEK，您可以進一步控管用於在 Google Cloud 專案中加密靜態資料的金鑰。

您可以搭配 Cloud Composer 使用 CMEK，加密及解密 Cloud Composer 環境產生的資料。

VPC Service Controls (VPC SC) 支援

VPC Service Controls 是一種機制，可降低資料竊取風險。

您可以選取 Cloud Composer 做為 VPC Service Controls 範圍內的安全服務。Cloud Composer 使用的所有基礎資源都已設定為支援 VPC Service Controls 架構，並遵循相關規則。在 VPC SC 範圍內，只能建立私人 IP 環境。

搭配 VPC Service Controls 部署 Cloud Composer 環境可讓您：

• 降低資料外洩風險。

• 防範因存取控管機制設定錯誤而導致資料外洩。

• 降低惡意使用者將資料複製到未經授權的Google Cloud 資源，或外部攻擊者從網際網路存取Google Cloud 資源的風險。

網路伺服器網路存取控管層級 (ACL)

Cloud Composer 中的 Airflow 網路伺服器一律會提供可從外部存取的 IP 位址。您可以控制 Airflow UI 的存取 IP 位址。Cloud Composer 支援 IPv4 和 IPv6 範圍。

您可以在 Google Cloud 控制台、gcloud、API 和 Terraform 中設定網路伺服器存取限制。

使用 Secret Manager 儲存機密設定資料

在 Cloud Composer 中，您可以將 Airflow 設為使用 Secret Manager，做為儲存 Airflow 連線變數的後端。

DAG 開發人員也可以從 DAG 程式碼讀取 Secret Manager 中儲存的變數和連線。

符合標準

如要確認 Cloud Composer 是否符合各種標準，請參閱下方連結的頁面：

• 《健康保險流通與責任法案》法規遵循
• 資料存取透明化控管機制
• PCI DSS
• ISO/IEC：27001、27017、27018
• SOC：SOC 1、SOC 2、SOC 3
• NIST：NIST800-53、NIST800-171
• DRZ FedRamp Moderate
• 資料落地權/位置限制 (Cloud Composer 設定指南)
• Assured Workloads

另請參閱

本文提到的部分安全性功能已在 Airflow Summit 2020 簡報中討論：以安全的方式執行 Airflow DAG。

後續步驟

• 安全性最佳做法
• 存取權控管設定
• 環境架構