Poiché un flusso di lavoro non contiene dipendenze di codice o librerie, non richiede patch di sicurezza. Una volta implementato un flusso di lavoro, puoi aspettarti che venga eseguito in modo affidabile senza manutenzione. Inoltre, Workflows offre diverse funzionalità di sicurezza e adotta misure di conformità specifiche per soddisfare i requisiti di sicurezza delle aziende.
Crittografia dei dati
Per impostazione predefinita, Google Cloud utilizza diversi livelli di crittografia per proteggere i dati degli utenti archiviati nei data center di produzione di Google. Questa crittografia predefinita avviene a livello di applicazione o di infrastruttura di archiviazione. Il traffico tra i tuoi dispositivi e Google Front End (GFE) viene criptato utilizzando protocolli di crittografia avanzata come Transport Layer Security (TLS). I tuoi dati in uso sono protetti e la riservatezza per i carichi di lavoro in un ambiente cloud multi-tenant viene mantenuta mediante l'esecuzione del calcolo in isolamento crittografico. Per ulteriori informazioni sui principali controlli di sicurezza che Google utilizza per contribuire a proteggere i tuoi dati, consulta la Panoramica sulla sicurezza di Google. Google Cloud
Gestione di identità e accessi
Poiché ogni esecuzione di flusso di lavoro richiede una chiamata autenticata, puoi ridurre il rischio di chiamate accidentali o dannose utilizzando Workflows. I flussi di lavoro gestiscono l'accesso e l'autenticazione utilizzando i ruoli e le autorizzazioni di Identity and Access Management (IAM). Puoi semplificare le interazioni con altre Google Cloud API utilizzando account di servizio basati su IAM. Per maggiori dettagli, consulta Concedere un'autorizzazione dei flussi di lavoro per l'accesso alle risorse Google Cloud e Eseguire richieste autenticate da un flusso di lavoro.
Endpoint privati
I flussi di lavoro possono richiamare un endpoint Google Cloud on-premise privato, Compute Engine, Google Kubernetes Engine (GKE) o un altro tramite una richiesta HTTP. Devi attivare Identity-Aware Proxy (IAP) per l'endpoint privato in modo che i flussi di lavoro possano invocarlo. Per ulteriori informazioni, consulta Eseguire l'invocazione di un endpoint privato on-premise, Compute Engine, GKE o di altro tipo.
I flussi di lavoro possono anche richiamare funzioni o servizi Cloud Run nello stesso Google Cloud progetto Google Cloud con l'accesso limitato al traffico interno. Con questa configurazione, i servizi non sono raggiungibili da internet, ma possono essere raggiunti da Workflows.
Per applicare queste limitazioni, devi modificare le impostazioni di ingresso del servizio o della funzione. Tieni presente che il servizio Cloud Run deve essere raggiunto tramite il relativo URL run.app e non tramite un dominio personalizzato. Per ulteriori informazioni, consulta Limitazione del traffico in entrata (per Cloud Run) e Configurazione delle impostazioni di rete (per le funzioni Cloud Run). Non sono necessarie altre modifiche al flusso di lavoro.
Chiavi di crittografia gestite dal cliente (CMEK)
Se hai requisiti di conformità o normativi specifici relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per i flussi di lavoro. Il flusso di lavoro e i dati at-rest associati sono protetti utilizzando una chiave di crittografia a cui solo tu puoi accedere e che puoi controllare e gestire utilizzando Cloud Key Management Service (Cloud KMS). Per ulteriori informazioni, consulta Utilizzare le chiavi di crittografia gestite dal cliente.
Supporto di Controlli di servizio VPC (VPC SC)
I Controlli di servizio VPC sono un meccanismo per mitigare i rischi di esfiltrazione di dati. Puoi utilizzare i Controlli di servizio VPC con i flussi di lavoro per contribuire a proteggere i tuoi servizi. Per ulteriori informazioni, consulta Configurare un perimetro di servizio utilizzando i Controlli di servizio VPC.
Secret Manager per archiviare e proteggere i dati sensibili
Secret Manager è un sistema di archiviazione pratico e sicuro per chiavi API, password, certificati e altri dati sensibili. Puoi utilizzare un connettore Workflows per accedere a Secret Manager all'interno di un workflow. In questo modo l'integrazione è più semplice, perché il connettore gestisce la formattazione delle richieste e fornisce metodi e argomenti in modo da non dover conoscere i dettagli dell'API Secret Manager. Per ulteriori informazioni, consulta Proteggere e archiviare i dati sensibili utilizzando il connettore Secret Manager.
Integrazione con Cloud Logging, Cloud Monitoring e Cloud Audit Logs
I log sono una fonte principale di informazioni di diagnostica sullo stato dei tuoi flussi di lavoro. Logging ti consente di archiviare, visualizzare, trovare, analizzare e creare avvisi su dati di log ed eventi.
Workflows è integrato con Logging e genera automaticamente i log di esecuzione per le esecuzioni dei workflow. A causa della natura in streaming di Logging, puoi visualizzare immediatamente i log emessi da qualsiasi flusso di lavoro e utilizzare Logging per centralizzare i log di tutti i tuoi flussi di lavoro. Puoi anche controllare quando i log vengono inviati a Logging durante l'esecuzione di un flusso di lavoro tramite il logging delle chiamate o log personalizzati. Per maggiori dettagli, consulta Inviare log a Logging.
Oltre a utilizzare i log, in genere devi monitorare altri aspetti dei tuoi servizi per garantire un funzionamento affidabile. Utilizza Monitoraggio per avere maggiore visibilità su prestazioni, uptime e integrità complessiva dei tuoi flussi di lavoro.
Per monitorare e gestire i dettagli delle interazioni con le tue Google Cloud risorse, puoi utilizzare gli audit log di Cloud per acquisire informazioni su attività come l'accesso ai dati. Utilizza i controlli IAM per limitare chi può visualizzare gli audit log. Per ulteriori informazioni, consulta le informazioni sui log di controllo per workflow e esecuzioni dei workflow.
Conformità agli standard
Per verificare la conformità di Workflows a vari standard, consulta Controlli di conformità.