Da ein Workflow keine Code- oder Bibliotheksabhängigkeiten enthält, sind keine Sicherheitspatches erforderlich. Nach der Bereitstellung eines Workflows können Sie davon ausgehen, dass dieser zuverlässig ohne Wartung auszuführen. Außerdem bietet Workflows mehrere Sicherheitsfunktionen und ergreift bestimmte Compliance-Maßnahmen, um die Sicherheitsanforderungen von Unternehmen zu erfüllen.
Datenverschlüsselung
Standardmäßig nutzt Google Cloud mehrere Verschlüsselungsebenen, um Nutzerdaten zu schützen, die in Google-Produktionsrechenzentren gespeichert sind. Diese Standardverschlüsselung erfolgt auf der Anwendungs- oder Speicherinfrastrukturebene. Traffic zwischen Ihren Geräte und das Google Front End (GFE) wird mit starker Verschlüsselung verschlüsselt. wie Transport Layer Security (TLS). Ihre verwendeten Daten werden geschützt und die Vertraulichkeit für Arbeitslasten in einer mehrmandantenfähigen Cloud-Umgebung wird aufrechterhalten, indem Berechnungen in kryptografischer Isolation durchgeführt werden. Weitere Informationen Informationen zu den wichtigsten Sicherheitskontrollen, die Google Cloud verwendet, um zum Schutz Ihrer Daten finden Sie unter Überblick über die Sicherheit von Google
Identitäts- und Zugriffsverwaltung
Da für jede Workflowausführung ein authentifizierter Aufruf erforderlich ist, können Sie mithilfe von Workflows das Risiko versehentlicher oder schädlicher Aufrufe verringern. In Workflows werden Zugriff und Authentifizierung mithilfe von IAM-Rollen und -Berechtigungen (Identity and Access Management) verwaltet. Sie können die Interaktionen mit anderen Google Cloud APIs mithilfe der IAM-basierte Dienstkonten. Weitere Informationen finden Sie unter Zugriff auf Google Cloud-Ressourcen für einen Workflow gewähren und Authentifizierte Anfragen von einem Workflow aus ausführen.
Private Endpunkte
Workflows können einen privaten lokalen, Compute Engine-, Google Kubernetes Engine (GKE)- oder anderen Google Cloud-Endpunkt über eine HTTP-Anfrage aufrufen. Sie müssen Identity-Aware Proxy (IAP) für den privaten Dienst aktivieren Endpunkt, damit Workflows den Endpunkt aufrufen können. Weitere Informationen finden Sie unter Rufen Sie einen privaten lokalen Endpunkt, die Compute Engine, die GKE oder einen anderen Endpunkt auf.
Workflows können auch Cloud Run-Funktionen aufrufen
oder Cloud Run-Dienste im selben Google Cloud-Projekt
bei denen der eingehende Traffic auf internen Traffic beschränkt ist. Mit dieser Konfiguration sind Ihre Dienste nicht über das Internet erreichbar, können aber über Workflows erreicht werden.
Wenn Sie diese Einschränkungen anwenden möchten, müssen Sie die Einstellungen für eingehenden Traffic Ihres Dienstes oder Ihrer Funktion anpassen. Der Cloud Run-Dienst muss über seine run.app-URL und nicht über eine benutzerdefinierte Domain erreicht werden. Weitere Informationen finden Sie unter Eingehenden Traffic einschränken (für Cloud Run) und Netzwerkeinstellungen konfigurieren (für Cloud Run-Funktionen). Sie müssen keine weiteren Änderungen an Ihrem Workflow vornehmen.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie für Workflows vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden. Ihr Workflow und die zugehörigen inaktiven Daten werden mit einem Verschlüsselungsschlüssel geschützt, auf den nur Sie zugreifen können und den Sie mit Cloud Key Management Service (Cloud KMS) steuern und verwalten können. Weitere Informationen finden Sie unter vom Kunden verwaltete Verschlüsselungsschlüssel verwenden.
Unterstützung von VPC Service Controls (VPC SC)
VPC Service Controls ist ein Mechanismus, um das Risiko der Daten-Exfiltration zu minimieren. Sie können VPC Service Controls mit Workflows verwenden, um Ihre Dienste zu schützen. Weitere Informationen finden Sie unter Dienstperimeter mit VPC Service Controls einrichten.
Secret Manager zum Speichern und Schützen sensibler Daten
Secret Manager bietet eine sichere und bequeme Möglichkeit, API-Schlüssel, Passwörter, Zertifikate und andere sensible Daten zu speichern. Sie können einen Workflow-Connector verwenden, um innerhalb eines Workflows auf Secret Manager zuzugreifen. Das vereinfacht die Integration, da der Connector die Formatierung von Anfragen übernimmt und Methoden und Argumente bereitstellt. Sie müssen also die Details der Secret Manager API nicht kennen. Weitere Informationen finden Sie unter Sensible Daten mit dem Secret Manager-Connector schützen und speichern.
Einbindung in Cloud Logging, Cloud Monitoring und Cloud-Audit-Logs
Protokolle sind eine Hauptquelle für Diagnoseinformationen zum Status Ihrer Workflows. Mit Logging können Sie Logdaten und -ereignisse speichern, anzeigen, suchen, analysieren und Benachrichtigungen dazu erhalten.
Workflows ist in Logging eingebunden und generiert automatisch Ausführungsprotokolle für Workflowausführungen. Aufgrund des Streaming-Charakters von Logging können Sie alle Logs, die von einem Workflow gesendet werden, sofort aufrufen. Außerdem können Sie mit Logging Logs aus allen Ihren Workflows zentralisieren. Mit Logging und benutzerdefinierten Logs können Sie auch steuern, wann Logs während der Ausführung eines Workflows an Logging gesendet werden. Weitere Informationen finden Sie unter Logs an Logging senden.
Neben der Auswertung von Logs müssen Sie in der Regel auch andere Aspekte um einen zuverlässigen Betrieb zu gewährleisten. Mit Monitoring können Sie sich einen Überblick über die Leistung, die Verfügbarkeit und den Gesamtzustand von Workflows verschaffen.
Um Details zu Interaktionen mit Ihrer Google Cloud nachzuverfolgen und zu verwalten Ressourcen können Sie mithilfe von Cloud-Audit-Logs erfassen, wie Datenzugriff. Mit IAM-Steuerelementen einschränken, wer Audit-Logs aufrufen Weitere Informationen finden Sie in den Informationen zum Audit-Logging für Workflows und Workflowausführungen.
Einhaltung von Standards
Informationen zur Einhaltung verschiedener Standards durch Workflows finden Sie unter Compliance-Kontrollen.