Étant donné qu'un workflow ne contient aucune dépendance de code ou de bibliothèque, il ne nécessite pas de correctifs de sécurité. Une fois que vous avez déployé un workflow, vous pouvez vous assurer qu'il s'exécutera de manière fiable sans maintenance. De plus, Workflows propose plusieurs fonctionnalités de sécurité et prend des mesures de conformité spécifiques pour répondre aux exigences de sécurité des entreprises.
Chiffrement des données
Par défaut, Google Cloud utilise plusieurs couches de chiffrement pour protéger les données utilisateur stockées dans les centres de données de production de Google. Ce chiffrement par défaut s'effectue au niveau de la couche d'infrastructure de l'application ou du stockage. Le trafic entre vos appareils et le Google Front End (GFE) est chiffré à l'aide de protocoles de chiffrement renforcés tels que Transport Layer Security (TLS). Vos données utilisées sont protégées, et la confidentialité des charges de travail dans un environnement cloud multi-locataire est assurée, en effectuant des calculs dans un environnement isolé de manière cryptographique. Pour en savoir plus sur les principaux contrôles de sécurité que Google Cloud utilise pour protéger vos données, consultez la présentation de la sécurité Google.
Gestion de l'authentification et des accès
Étant donné que chaque exécution de workflow nécessite un appel authentifié, vous pouvez réduire le risque d'appels accidentels ou malveillants à l'aide de Workflows. Workflows gère l'accès et l'authentification à l'aide de rôles et d'autorisations IAM (Identity and Access Management). Vous pouvez simplifier les interactions avec d'autres API Google Cloud à l'aide de comptes de service IAM. Pour en savoir plus, consultez les pages Accorder à un workflow l'autorisation d'accéder aux ressources Google Cloud et Effectuer des requêtes authentifiées à partir d'un workflow.
Points de terminaison privés
Les workflows peuvent appeler un point de terminaison privé sur site, Compute Engine, Google Kubernetes Engine (GKE) ou un autre point de terminaison Google Cloud via une requête HTTP. Vous devez activer Identity-Aware Proxy (IAP) pour le point de terminaison privé afin que les workflows puissent l'invoquer. Pour en savoir plus, consultez Appeler un point de terminaison privé sur site, Compute Engine, GKE ou autre.
Les workflows peuvent également appeler des fonctions ou des services Cloud Run dans le même projet Google Cloud dont l'entrée est limitée au trafic interne. Avec cette configuration, vos services sont inaccessibles depuis Internet, mais peuvent être accessibles à partir de Workflows.
Pour appliquer ces restrictions, vous devez ajuster les paramètres d'entrée de votre service ou fonction. Notez que le service Cloud Run doit être accessible via son URL run.app et non via un domaine personnalisé. Pour en savoir plus, consultez les sections Restreindre le trafic entrant (pour Cloud Run) et Configurer les paramètres réseau (pour les fonctions Cloud Run). Aucune autre modification n'est nécessaire dans votre workflow.
Clés de chiffrement gérées par le client (CMEK)
Si vous avez des exigences réglementaires ou de conformité spécifiques concernant les clés qui protègent vos données, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) pour les workflows. Votre workflow et les données associées au repos sont protégés à l'aide d'une clé de chiffrement à laquelle vous seul pouvez accéder, et que vous pouvez contrôler et gérer à l'aide de Cloud Key Management Service (Cloud KMS). Pour en savoir plus, consultez la page Utiliser des clés de chiffrement gérées par le client.
Compatibilité avec VPC Service Controls (VPC SC)
VPC Service Controls est un mécanisme permettant de limiter les risques d'exfiltration de données. Vous pouvez utiliser VPC Service Controls avec les workflows pour protéger vos services. Pour en savoir plus, consultez la section Configurer un périmètre de service à l'aide de VPC Service Controls.
Secret Manager pour stocker et sécuriser les données sensibles
Secret Manager est un système de stockage sécurisé et pratique pour les clés API, les mots de passe, les certificats et autres données sensibles. Vous pouvez utiliser un connecteur de workflows pour accéder à Secret Manager dans un workflow. Cela simplifie l'intégration pour vous, car le connecteur gère la mise en forme des requêtes et fournit des méthodes et des arguments pour que vous n'ayez pas besoin de connaître les détails de l'API Secret Manager. Pour en savoir plus, consultez la section Sécuriser et stocker des données sensibles à l'aide du connecteur Secret Manager.
Intégration à Cloud Logging, Cloud Monitoring et Cloud Audit Logs
Les journaux constituent une source principale d'informations de diagnostic sur l'état de vos workflows. Logging vous permet de stocker, d'afficher, de rechercher, d'analyser et de surveiller les données et les événements des journaux, et d'envoyer des alertes le cas échéant.
Les workflows sont intégrés à Logging et génèrent automatiquement des journaux d'exécution pour les exécutions de workflows. Comme Logging fonctionne en flux continu, vous pouvez afficher immédiatement les journaux émis par n'importe quel workflow et utiliser Logging pour centraliser les journaux de tous vos workflows. Vous pouvez également contrôler le moment où les journaux sont envoyés à Logging lors de l'exécution d'un workflow via la journalisation des appels ou des journaux personnalisés. Pour en savoir plus, consultez la section Envoyer des journaux à Logging.
Outre la consommation de journaux, vous devez généralement surveiller d'autres aspects de vos services pour garantir un fonctionnement fiable. Utilisez Monitoring pour obtenir une visibilité sur les performances, la disponibilité et l'état général de vos workflows.
Pour suivre et conserver les détails des interactions avec vos ressources Google Cloud, vous pouvez utiliser les journaux d'audit Cloud pour capturer des activités telles que l'accès aux données. Utilisez les contrôles IAM pour limiter les utilisateurs autorisés à consulter les journaux d'audit. Pour en savoir plus, consultez les informations sur les journaux d'audit des workflows et des exécutions de workflow.
Conformité aux normes
Pour vérifier la conformité des workflows avec différentes normes, consultez la section Contrôles de conformité.