Debido a que un flujo de trabajo no contiene dependencias de código ni de bibliotecas, no requiere parches de seguridad. Una vez que implementes un flujo de trabajo, puedes esperar que se ejecute de forma confiable sin mantenimiento. Además, Workflows ofrece varias funciones de seguridad y toma medidas de cumplimiento específicas para satisfacer los requisitos de seguridad de la empresa.
Encriptación de datos
De forma predeterminada, Google Cloud usa varias capas de encriptación para proteger los datos del usuario que se almacenan en los centros de datos de producción de Google. Esta encriptación predeterminada ocurre en la capa de infraestructura de aplicación o almacenamiento. El tráfico entre tus dispositivos y Google Front End (GFE) se encripta con protocolos de encriptación potentes, como la seguridad de la capa de transporte (TLS). Tus datos en uso están protegidos, y se mantiene la confidencialidad de las cargas de trabajo en un entorno de nube multiusuario mediante el procesamiento en aislamiento criptográfico. Para obtener más información sobre los principales controles de seguridad que usa Google Cloud para ayudar a proteger tus datos, consulta la descripción general de la seguridad de Google.
Administración de identidades y accesos
Dado que cada ejecución de flujo de trabajo requiere una llamada autenticada, puedes mitigar el riesgo de llamadas accidentales o maliciosas con Workflows. Workflows administran el acceso y la autenticación con roles y permisos de Identity and Access Management (IAM). Puedes simplificar las interacciones con otras APIs de Google Cloud mediante cuentas de servicio basadas en IAM. Para obtener más información, consulta Otorga permiso a un flujo de trabajo para acceder a recursos de Google Cloud y Realiza solicitudes autenticadas desde un flujo de trabajo.
Extremos privados
Workflows pueden invocar un extremo privado local, Compute Engine, Google Kubernetes Engine (GKE) o cualquier otro extremo de Google Cloud a través de una solicitud HTTP. Debes habilitar Identity-Aware Proxy (IAP) para el extremo privado para que Workflows pueda invocar el extremo. Para obtener más información, consulta Cómo invocar un extremo privado, Compute Engine, GKE o algún otro extremo en las instalaciones.
Workflows también pueden invocar funciones
o servicios de Cloud Run en el mismo proyecto de Google Cloud
que tenga la entrada restringida al tráfico interno. Con esta configuración, no se puede acceder a tus servicios desde Internet, pero sí desde Workflows.
Para aplicar estas restricciones, debes ajustar la configuración de entrada de tu servicio o función. Ten en cuenta que se debe acceder al servicio de Cloud Run en su URL run.app y no en un dominio personalizado. Para obtener más información, consulta Cómo restringir el ingreso (para Cloud Run) y Cómo configurar la configuración de red (para funciones de Cloud Run). No es necesario realizar otros cambios en tu flujo de trabajo.
Claves de encriptación administradas por el cliente (CMEK)
Si tienes requisitos normativos o de cumplimiento específicos relacionados con las claves que protegen los datos, puedes usar claves de encriptación administradas por el cliente (CMEK) para Workflows. Tu flujo de trabajo y los datos asociados en reposo se protegen con una clave de encriptación a la que solo tú puedes acceder y que puedes controlar y administrar con Cloud Key Management Service (Cloud KMS). Para obtener más información, consulta Usa claves de encriptación administradas por el cliente.
Compatibilidad con los Controles del servicio de VPC (VPC SC)
Los Controles del servicio de VPC son un mecanismo para mitigar los riesgos de robo de datos. Puedes usar los Controles del servicio de VPC con Workflows para ayudar a proteger tus servicios. Para obtener más información, consulta Cómo configurar un perímetro de servicio con los Controles del servicio de VPC.
Secret Manager para almacenar y proteger datos sensibles
Secret Manager es un sistema de almacenamiento seguro y conveniente para guardar claves de API, contraseñas, certificados y otros datos sensibles. Puedes usar un conector de Workflows para acceder a Secret Manager dentro de un flujo de trabajo. Esto simplifica la integración, ya que el conector controla el formato de las solicitudes y proporciona métodos y argumentos para que no necesites conocer los detalles de la API de Secret Manager. Para obtener más información, consulta Protege y almacena datos sensibles con el conector de Secret Manager.
Integración en Cloud Logging, Cloud Monitoring y Registros de auditoría de Cloud
Los registros son una fuente principal de información de diagnóstico sobre el estado de tus flujos de trabajo. Registro te permite almacenar, ver, buscar, analizar y generar alertas sobre datos y eventos de registro.
Workflows están integrados en Logging y generan registros de ejecución automáticamente para las ejecuciones de flujos de trabajo. Debido a la naturaleza de transmisión de Logging, puedes ver los registros que emite cualquier flujo de trabajo de inmediato y puedes usar Logging para centralizar los registros de todos tus flujos de trabajo. También puedes controlar cuándo se envían los registros a Logging durante la ejecución de un flujo de trabajo a través del registro de llamadas o los registros personalizados. Para obtener más información, consulta Cómo enviar registros a Logging.
Además del consumo de registros, a menudo se deben supervisar otros aspectos de los servicios para garantizar un funcionamiento confiable. Usa Monitoring para obtener visibilidad del rendimiento, el tiempo de actividad y el estado general de tus flujos de trabajo.
Para realizar un seguimiento y mantener los detalles de las interacciones con tus recursos de Google Cloud, puedes usar los registros de auditoría de Cloud para capturar actividades, como el acceso a los datos. Usa los controles de IAM para limitar quién puede ver los registros de auditoría. Para obtener más información, consulta la información de registro de auditoría de los flujos de trabajo y las ejecuciones de flujos de trabajo.
Cumplimiento de los estándares
Para confirmar el cumplimiento de Workflows con varios estándares, consulta Controles de cumplimiento.