Como un flujo de trabajo no contiene dependencias de código ni de bibliotecas, no requiere parches de seguridad. Una vez que implementes un flujo de trabajo, puedes esperar que se ejecute de forma fiable sin necesidad de mantenimiento. Además, Workflows ofrece varias funciones de seguridad y toma medidas de cumplimiento específicas para satisfacer los requisitos de seguridad de las empresas.
Encriptado de datos
De forma predeterminada, Google Cloud usa varias capas de cifrado para proteger los datos de los usuarios que se almacenan en los centros de datos de producción de Google. Este cifrado predeterminado se produce en la capa de aplicación o de infraestructura de almacenamiento. El tráfico entre tus dispositivos y el frontend de Google (GFE) se cifra mediante protocolos de cifrado seguros, como Seguridad en la capa de transporte (TLS). Tus datos en uso están protegidos y se mantiene la confidencialidad de las cargas de trabajo en un entorno de nube multiinquilino mediante el cálculo en aislamiento criptográfico. Para obtener más información sobre los principales controles de seguridad que utiliza Google Cloud para proteger tus datos, consulta el resumen de seguridad de Google.
Gestión de identidades y accesos
Como cada ejecución de flujo de trabajo requiere una llamada autenticada, puedes reducir el riesgo de llamadas accidentales o maliciosas usando Workflows. Workflows gestiona el acceso y la autenticación mediante roles y permisos de Gestión de Identidades y Accesos (IAM). Puedes simplificar las interacciones con otras APIs de Google Cloud mediante cuentas de servicio basadas en IAM. Para obtener más información, consulta Conceder permiso a un flujo de trabajo para acceder a recursos Google Cloud y Hacer solicitudes autenticadas desde un flujo de trabajo.
Endpoints privados
Los flujos de trabajo pueden invocar un endpoint privado on-premise, de Compute Engine, de Google Kubernetes Engine (GKE) o de otro tipo Google Cloud mediante una solicitud HTTP. Debes habilitar Identity-Aware Proxy (IAP) para el endpoint privado para que Workflows pueda invocarlo. Para obtener más información, consulta Invocar un endpoint privado local, de Compute Engine, de GKE u otro.
Los workflows también pueden invocar funciones o servicios de Cloud Run del mismo Google Cloud proyecto Google Cloud que tengan el acceso restringido al tráfico interno. Con esta configuración, no se puede acceder a tus servicios desde Internet, pero sí desde Workflows.
Para aplicar estas restricciones, debe ajustar la configuración de entrada de su servicio o función. Ten en cuenta que se debe acceder al servicio de Cloud Run a través de su URL run.app y no a través de un dominio personalizado. Para obtener más información, consulta Restringir el tráfico de entrada (en Cloud Run) y Configurar los ajustes de red (en Cloud Functions). No es necesario que hagas ningún otro cambio en tu flujo de trabajo.
Claves de encriptado gestionadas por el cliente (CMEK)
Si tienes requisitos normativos o de cumplimiento específicos relacionados con las claves que protegen tus datos, puedes usar claves de cifrado gestionadas por el cliente (CMEK) en Workflows. Tu flujo de trabajo y los datos en reposo asociados están protegidos mediante una clave de cifrado a la que solo tú puedes acceder y que puedes controlar y gestionar con Cloud Key Management Service (Cloud KMS). Para obtener más información, consulta el artículo Usar claves de cifrado gestionadas por el cliente.
Compatibilidad con Controles de Servicio de VPC
Controles de Servicio de VPC es un mecanismo para mitigar el riesgo de filtración externa de datos. Puedes usar Controles de Servicio de VPC con Workflows para proteger tus servicios. Para obtener más información, consulta el artículo Configurar un perímetro de servicio con Controles de Servicio de VPC.
Secret Manager para almacenar y proteger datos sensibles
Secret Manager es un sistema práctico y seguro para almacenar claves de API, contraseñas, certificados y otros datos sensibles. Puedes usar un conector de Workflows para acceder a Secret Manager en un flujo de trabajo. De esta forma, la integración es más sencilla, ya que el conector se encarga de dar formato a las solicitudes y proporciona métodos y argumentos para que no tengas que conocer los detalles de la API Secret Manager. Para obtener más información, consulta Proteger y almacenar datos sensibles con el conector Secret Manager.
Integración con Cloud Logging, Cloud Monitoring y Registros de auditoría de Cloud
Los registros son una fuente principal de información de diagnóstico sobre el estado de sus flujos de trabajo. Logging te permite almacenar, ver, buscar, analizar y recibir alertas sobre datos y eventos de registro.
Workflows se integra con Logging y genera automáticamente registros de ejecución para las ejecuciones de flujos de trabajo. Gracias a la naturaleza de streaming de Logging, puedes ver los registros que emite cualquier flujo de trabajo inmediatamente y usar Logging para centralizar los registros de todos tus flujos de trabajo. También puedes controlar cuándo se envían los registros a Logging durante la ejecución de un flujo de trabajo mediante el registro de llamadas o los registros personalizados. Para obtener más información, consulta el artículo Enviar registros a Logging.
Además de consumir registros, normalmente tienes que monitorizar otros aspectos de tus servicios para asegurarte de que funcionan de forma fiable. Usa Monitoring para ver el rendimiento, el tiempo de actividad y el estado general de tus flujos de trabajo.
Para monitorizar y mantener los detalles de las interacciones con tus Google Cloud recursos, puedes usar Cloud Audit Logs, que te ayudará a registrar actividades como el acceso a datos. Usa los controles de gestión de identidades y accesos para limitar quién puede ver los registros de auditoría. Para obtener más información, consulta la información de registro de auditoría de los flujos de trabajo y las ejecuciones de flujos de trabajo.
Cumplimiento de los estándares
Para confirmar que Workflows cumple varios estándares, consulta Controles de cumplimiento.