Ringkasan keamanan alur kerja

Karena tidak berisi dependensi kode atau library, alur kerja tidak memerlukan patch keamanan. Setelah men-deploy alur kerja, Anda dapat mengharapkannya untuk dieksekusi dengan andal tanpa pemeliharaan. Selain itu, Alur Kerja menawarkan beberapa fitur keamanan dan mengambil langkah-langkah kepatuhan tertentu untuk memenuhi persyaratan keamanan perusahaan.

Enkripsi data

Secara default, Google Cloud menggunakan beberapa lapisan enkripsi untuk melindungi data pengguna yang disimpan di pusat data produksi Google. Enkripsi default ini terjadi pada lapisan infrastruktur aplikasi atau penyimpanan. Traffic antara perangkat Anda dan Google Front End (GFE) dienkripsi menggunakan protokol enkripsi yang kuat seperti Transport Layer Security (TLS). Data Anda yang sedang digunakan dilindungi, dan kerahasiaan untuk workload di lingkungan cloud multi-tenant dipertahankan, dengan melakukan komputasi dalam isolasi kriptografis. Untuk informasi selengkapnya tentang kontrol keamanan utama yang digunakan Google Cloud untuk membantu melindungi data Anda, lihat ringkasan keamanan Google.

Pengelolaan akses dan identitas

Karena setiap eksekusi alur kerja memerlukan panggilan yang diautentikasi, Anda dapat mengurangi risiko panggilan yang tidak disengaja atau berbahaya dengan menggunakan Alur Kerja. Alur kerja mengelola akses dan autentikasi menggunakan peran dan izin Identity and Access Management (IAM). Anda dapat menyederhanakan interaksi dengan Google Cloud API lainnya menggunakan akun layanan berbasis IAM. Untuk mengetahui detailnya, lihat Memberikan izin alur kerja untuk mengakses resource Google Cloud dan Membuat permintaan yang diautentikasi dari alur kerja.

Endpoint pribadi

Alur kerja dapat memanggil endpoint lokal pribadi, Compute Engine, Google Kubernetes Engine (GKE), atau endpoint Google Cloud lainnya melalui permintaan HTTP. Anda harus mengaktifkan Identity-Aware Proxy (IAP) untuk endpoint pribadi agar Alur Kerja dapat memanggil endpoint. Untuk mengetahui informasi selengkapnya, lihat Memanggil endpoint lokal pribadi, Compute Engine, GKE, atau endpoint lainnya.

Alur kerja juga dapat memanggil fungsi Cloud Run atau layanan Cloud Run dalam project Google Cloud yang sama yang memiliki traffic masuk yang dibatasi untuk traffic internal. Dengan konfigurasi ini, layanan Anda tidak dapat dijangkau dari internet, tetapi dapat dijangkau dari Alur Kerja. Untuk menerapkan batasan ini, Anda harus menyesuaikan setelan masuk layanan atau fungsi. Perhatikan bahwa layanan Cloud Run harus dijangkau di URL run.app-nya, bukan di domain kustom. Untuk informasi selengkapnya, lihat Membatasi traffic masuk (untuk Cloud Run) dan Mengonfigurasi setelan jaringan (untuk fungsi Cloud Run). Tidak ada perubahan lain yang diperlukan pada alur kerja Anda.

Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)

Jika Anda memiliki persyaratan kepatuhan atau peraturan khusus terkait kunci yang melindungi data, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk Alur Kerja. Alur kerja Anda dan data terkait dalam penyimpanan dilindungi menggunakan kunci enkripsi yang hanya dapat Anda akses, dan yang dapat Anda kontrol dan kelola menggunakan Cloud Key Management Service (Cloud KMS). Untuk informasi selengkapnya, lihat Menggunakan kunci enkripsi yang dikelola pelanggan.

Dukungan Kontrol Layanan VPC (VPC SC)

Kontrol Layanan VPC adalah mekanisme untuk memitigasi risiko pemindahan data yang tidak sah. Anda dapat menggunakan Kontrol Layanan VPC dengan Alur Kerja untuk membantu melindungi layanan Anda. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan perimeter layanan menggunakan Kontrol Layanan VPC.

Secret Manager untuk menyimpan dan mengamankan data sensitif

Secret Manager adalah sistem penyimpanan yang aman dan nyaman untuk kunci API, sandi, sertifikat, dan data sensitif lainnya. Anda dapat menggunakan konektor Alur Kerja untuk mengakses Secret Manager dalam alur kerja. Hal ini menyederhanakan integrasi untuk Anda, karena konektor menangani pemformatan permintaan, dan menyediakan metode serta argumen sehingga Anda tidak perlu mengetahui detail Secret Manager API. Untuk mengetahui informasi selengkapnya, lihat Mengamankan dan menyimpan data sensitif menggunakan konektor Secret Manager.

Integrasi dengan Cloud Logging, Cloud Monitoring, dan Cloud Audit Logs

Log adalah sumber utama informasi diagnostik tentang kondisi alur kerja Anda. Logging memungkinkan Anda menyimpan, melihat, menelusuri, menganalisis, dan mengirim pemberitahuan terkait data dan peristiwa log.

Alur kerja terintegrasi dengan Logging dan otomatis menghasilkan log eksekusi untuk eksekusi alur kerja. Karena sifat streaming Logging, Anda dapat melihat log yang langsung dikeluarkan oleh alur kerja apa pun, dan Anda dapat menggunakan Logging untuk memusatkan log dari semua alur kerja. Anda juga dapat mengontrol kapan log dikirim ke Logging selama eksekusi alur kerja melalui logging panggilan atau log kustom. Untuk mengetahui detailnya, lihat Mengirim log ke Logging.

Selain menggunakan log, Anda biasanya perlu memantau aspek lain dari layanan untuk memastikan pengoperasian yang andal. Gunakan Monitoring untuk mendapatkan visibilitas terkait performa, waktu beroperasi, dan kondisi keseluruhan alur kerja Anda.

Untuk melacak dan mempertahankan detail interaksi dengan resource Google Cloud, Anda dapat menggunakan Cloud Audit Logs untuk membantu merekam aktivitas seperti akses data. Gunakan kontrol IAM untuk membatasi siapa yang dapat melihat log audit. Untuk informasi selengkapnya, lihat informasi logging audit untuk alur kerja dan eksekusi alur kerja.

Kepatuhan terhadap standar

Untuk mengonfirmasi kepatuhan Alur Kerja terhadap berbagai standar, lihat Kontrol kepatuhan.

Langkah selanjutnya