Debido a que un flujo de trabajo no contiene dependencias de biblioteca ni código, no requiere parches de seguridad. Una vez que implementas un flujo de trabajo, puedes esperar que se ejecute de manera confiable sin mantenimiento. Además, Workflows ofrece varias funciones de seguridad y toma medidas de cumplimiento específicas para satisfacer los requisitos de seguridad empresariales.
Encriptación de los datos
De forma predeterminada, Google Cloud usa varias capas de encriptación para proteger los datos del usuario que se almacenan en los centros de datos de producción de Google. Esta encriptación predeterminada ocurre en la capa de la infraestructura de almacenamiento o la aplicación. El tráfico entre tus dispositivos y Google Front End (GFE) se encripta mediante protocolos de encriptación sólidos, como la seguridad de la capa de transporte (TLS). Tus datos en uso están protegidos y se mantiene la confidencialidad de las cargas de trabajo en un entorno de nube multiusuario mediante la realización de cálculos en aislamiento criptográfico. Si quieres obtener más información sobre los principales controles de seguridad que Google Cloud usa para proteger tus datos, consulta la descripción general de seguridad de Google.
Administración de identidades y accesos
Dado que la ejecución de cada flujo de trabajo requiere una llamada autenticada, puedes mitigar el riesgo de llamadas accidentales o maliciosas con Workflows. Workflows administran el acceso y la autenticación mediante roles y permisos de Identity and Access Management (IAM). Puedes simplificar las interacciones con otras APIs de Google Cloud mediante cuentas de servicio basadas en IAM. Si deseas obtener más información, consulta Otorga permiso a un flujo de trabajo para acceder a los recursos de Google Cloud y Realiza solicitudes autenticadas desde un flujo de trabajo.
Extremos privados
Workflows pueden invocar un entorno privado local, Compute Engine, Google Kubernetes Engine (GKE) o algún otro extremo de Google Cloud mediante una solicitud HTTP. Debes habilitar Identity-Aware Proxy (IAP) para el extremo privado de modo que Workflows pueda invocarlo. Para obtener más información, consulta Invoca un extremo local, Compute Engine, GKE o cualquier otro extremo.
Workflows también pueden invocar servicios de Cloud Functions
o Cloud Run en el mismo proyecto de Google Cloud
que tengan una entrada restringida al tráfico interno. Con esta configuración, no se puede acceder a los servicios desde Internet, pero se puede acceder a ellos desde Workflows.
Para aplicar estas restricciones, debes ajustar la configuración de entrada de tu servicio o función. Ten en cuenta que se debe acceder al servicio de Cloud Run en su URL run.app y no en un dominio personalizado. Si deseas obtener más información, consulta Restringe la entrada (para Cloud Run) y Establece la configuración de red (para Cloud Functions). No es necesario realizar otros cambios en tu flujo de trabajo.
Claves de encriptación administradas por el cliente (CMEK)
Si tienes requisitos regulatorios o de cumplimiento específicos relacionados con las claves que protegen tus datos, puedes usar claves de encriptación administradas por el cliente (CMEK) para Workflows. Tu flujo de trabajo y los datos en reposo asociados están protegidos con una clave de encriptación a la que solo tú puedes acceder y que puedes controlar y administrar con Cloud Key Management Service (Cloud KMS). Para obtener más información, consulta Usa claves de encriptación administradas por el cliente.
Compatibilidad con los Controles del servicio de VPC (VPC SC)
Los Controles del servicio de VPC son un mecanismo para mitigar los riesgos de robo de datos. Puedes usar los Controles del servicio de VPC con Workflows para proteger tus servicios. Para obtener más información, consulta Configura un perímetro de servicio con los Controles del servicio de VPC.
Secret Manager para almacenar y proteger datos sensibles
Secret Manager es un sistema de almacenamiento seguro y conveniente para guardar claves de API, contraseñas, certificados y otros datos sensibles. Puedes usar un conector de Workflows para acceder a Secret Manager dentro de un flujo de trabajo. Esto simplifica la integración, ya que el conector controla el formato de las solicitudes y proporciona métodos y argumentos para que no necesites conocer los detalles de la API de Secret Manager. Para obtener más información, consulta Protege y almacena datos sensibles con el conector de Secret Manager.
Integración en Cloud Logging, Cloud Monitoring y Registros de auditoría de Cloud
Los registros son una fuente primordial de información de diagnóstico sobre el estado de los flujos de trabajo. El registro te permite almacenar, ver, buscar y analizar los datos y eventos de registro, así como emitir alertas sobre ellos.
Workflows está integrado en Logging y genera registros de ejecución de forma automática para las ejecuciones de flujos de trabajo. Debido a la naturaleza de transmisión de Logging, puedes ver los registros que cualquier flujo de trabajo emite de inmediato y puedes usar Logging para centralizar los registros de todos tus flujos de trabajo. También puedes controlar cuándo se envían los registros a Logging durante la ejecución de un flujo de trabajo a través del registro de llamadas o los registros personalizados. Para obtener más detalles, consulta Envía registros a Logging.
Además del consumo de registros, a menudo se deben supervisar otros aspectos de los servicios para garantizar una operación confiable. Usa Monitoring para obtener visibilidad del rendimiento, el tiempo de actividad y el estado general de tus flujos de trabajo.
Para realizar un seguimiento y mantener los detalles de las interacciones con tus recursos de Google Cloud, puedes usar los Registros de auditoría de Cloud y, así, capturar actividades como el acceso a los datos. Usa los controles de IAM para limitar quién puede ver los registros de auditoría. Para obtener más información, consulta Información de registro de auditoría de flujos de trabajo.
Cumplimiento de los estándares
Para confirmar el cumplimiento de Workflows con varios estándares, consulta Controles de cumplimiento.