Étant donné qu'un workflow ne contient aucune dépendance de code ou de bibliothèque, il ne nécessite aucun correctif de sécurité. Une fois que vous avez déployé un workflow, vous pouvez vous attendre à ce qu'il s'exécute de manière fiable, sans maintenance. En outre, Workflows offre plusieurs fonctionnalités de sécurité et prend des mesures de conformité spécifiques pour répondre aux exigences de sécurité des entreprises.
Chiffrement des données
Par défaut, Google Cloud utilise plusieurs couches de chiffrement pour protéger les données utilisateur stockées dans les centres de données de production de Google. Ce chiffrement par défaut s'effectue au niveau de la couche de l'infrastructure de l'application ou du stockage. Le trafic entre vos appareils et Google Front End (GFE) est chiffré à l'aide de protocoles de chiffrement renforcés tels que TLS (Transport Layer Security). Vos données utilisées sont protégées et la confidentialité des charges de travail dans un environnement cloud mutualisé est maintenue en effectuant des calculs de manière isolée. Pour en savoir plus sur les principaux contrôles de sécurité utilisés par Google Cloud pour protéger vos données, consultez la Présentation de la sécurité Google.
Gestion de l'authentification et des accès
Étant donné que chaque exécution de workflow nécessite un appel authentifié, vous pouvez réduire le risque d'appels accidentels ou malveillants à l'aide de Workflows. Workflows gère l'accès et l'authentification à l'aide de rôles et d'autorisations IAM (Identity and Access Management). Vous pouvez simplifier les interactions avec d'autres API Google Cloud en utilisant des comptes de service basés sur IAM. Pour en savoir plus, consultez Accorder à un workflow l'autorisation d'accéder aux ressources Google Cloud et Effectuer des requêtes authentifiées à partir d'un workflow.
Points de terminaison privés
Les workflows peuvent appeler un point de terminaison privé sur site, Compute Engine, Google Kubernetes Engine (GKE) ou un autre point de terminaison Google Cloud via une requête HTTP. Vous devez activer Identity-Aware Proxy (IAP) pour le point de terminaison privé afin que Workflows puisse l'appeler. Pour en savoir plus, consultez la section Appeler un point de terminaison privé sur site, Compute Engine, GKE ou un autre point de terminaison.
Les workflows peuvent également appeler des services Cloud Functions ou Cloud Run dans le même projet Google Cloud dont l'entrée est limitée au trafic interne. Avec cette configuration, vos services sont inaccessibles depuis Internet, mais sont accessibles à partir de Workflows.
Pour appliquer ces restrictions, vous devez ajuster les paramètres d'entrée de votre service ou fonction. Notez que le service Cloud Run doit être accessible via son URL run.app et non via un domaine personnalisé. Pour en savoir plus, consultez les pages Restreindre l'entrée (pour Cloud Run) et Configurer les paramètres réseau (pour Cloud Functions). Aucune autre modification n'est nécessaire dans votre workflow.
Clés de chiffrement gérées par le client (CMEK)
Si vous avez des exigences réglementaires ou de conformité spécifiques liées aux clés qui protègent vos données, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) pour Workflows. Votre workflow et les données au repos associées sont protégées à l'aide d'une clé de chiffrement à laquelle vous seul pouvez accéder, et que vous pouvez contrôler et gérer à l'aide de Cloud Key Management Service (Cloud KMS). Pour en savoir plus, consultez Utiliser des clés de chiffrement gérées par le client.
Compatibilité avec VPC Service Controls (VPC SC)
VPC Service Controls est un mécanisme permettant de limiter les risques d'exfiltration de données. Vous pouvez utiliser VPC Service Controls avec Workflows pour protéger vos services. Pour en savoir plus, consultez la page Configurer un périmètre de service à l'aide de VPC Service Controls.
Secret Manager pour stocker et sécuriser les données sensibles
Secret Manager est un système de stockage sécurisé et pratique pour les clés API, les mots de passe, les certificats et d'autres données sensibles. Vous pouvez utiliser un connecteur Workflows pour accéder à Secret Manager au sein d'un workflow. Cela simplifie l'intégration, car le connecteur gère la mise en forme des requêtes, et fournit des méthodes et des arguments qui vous évitent d'avoir à connaître les détails de l'API Secret Manager. Pour en savoir plus, consultez Sécuriser et stocker des données sensibles à l'aide du connecteur Secret Manager.
Intégration à Cloud Logging, Cloud Monitoring et Cloud Audit Logs
Les journaux constituent une source principale d'informations de diagnostic sur l'état de vos workflows. Logging vous permet de stocker, d'afficher, de rechercher et d'analyser les données et les événements des journaux, ainsi que d'envoyer des alertes les concernant.
Workflows est intégré à Logging et génère automatiquement des journaux d'exécution pour les exécutions de workflow. En raison de la nature par flux de Logging, vous pouvez afficher immédiatement les journaux émis par tout workflow. Vous pouvez également l'utiliser pour centraliser les journaux de tous vos workflows. Vous pouvez également contrôler à quel moment les journaux sont envoyés à Logging lors de l'exécution d'un workflow via la journalisation des appels ou des journaux personnalisés. Pour en savoir plus, consultez la section Envoyer des journaux à Logging.
Outre la consommation de journaux, vous devez généralement surveiller d'autres aspects de vos services pour garantir un fonctionnement fiable. Utilisez Monitoring pour obtenir une visibilité sur les performances, le temps d'activité et l'état général de vos workflows.
Pour suivre et gérer les détails des interactions avec vos ressources Google Cloud, vous pouvez utiliser Cloud Audit Logs pour capturer des activités telles que l'accès aux données. Limitez l'accès aux journaux d'audit à l'aide de contrôles IAM. Pour en savoir plus, consultez la page Informations sur les journaux d'audit des workflows.
Conformité avec les normes
Pour vérifier la conformité de Workflows avec différentes normes, consultez la page Contrôles de conformité.