Karena tidak berisi kode atau dependensi library, alur kerja tidak memerlukan patch keamanan. Setelah men-deploy alur kerja, Anda dapat memperkirakannya akan dijalankan dengan andal tanpa pemeliharaan. Selain itu, Workflows menawarkan beberapa fitur keamanan dan mengambil langkah kepatuhan tertentu untuk memenuhi persyaratan keamanan perusahaan.
Enkripsi data
Secara default, Google Cloud menggunakan beberapa lapisan enkripsi untuk melindungi data pengguna yang disimpan di pusat data produksi Google. Enkripsi default ini terjadi pada lapisan infrastruktur aplikasi atau penyimpanan. Traffic antara perangkat Anda dan Google Front End (GFE) dienkripsi menggunakan protokol enkripsi yang kuat seperti Transport Layer Security (TLS). Data Anda yang sedang digunakan akan dilindungi, dan kerahasiaan untuk workload di lingkungan cloud multi-tenant akan dipertahankan dengan melakukan komputasi dalam isolasi kriptografi. Untuk mengetahui informasi selengkapnya tentang kontrol keamanan utama yang digunakan Google Cloud untuk membantu melindungi data Anda, lihat ringkasan keamanan Google.
Pengelolaan akses dan identitas
Karena setiap eksekusi alur kerja memerlukan panggilan yang diautentikasi, Anda dapat mengurangi risiko panggilan yang tidak disengaja atau berbahaya dengan menggunakan Workflows. Workflows mengelola akses dan autentikasi menggunakan peran dan izin Identity and Access Management (IAM). Anda dapat menyederhanakan interaksi dengan Google Cloud API lainnya menggunakan akun layanan berbasis IAM. Untuk mengetahui detailnya, lihat bagian Memberikan izin alur kerja untuk mengakses resource Google Cloud dan Membuat permintaan terautentikasi dari alur kerja.
Endpoint pribadi
Alur kerja dapat memanggil infrastruktur lokal pribadi, Compute Engine, Google Kubernetes Engine (GKE), atau endpoint Google Cloud lainnya melalui permintaan HTTP. Anda harus mengaktifkan Identity-Aware Proxy (IAP) untuk endpoint pribadi agar Workflows dapat memanggil endpoint. Untuk mengetahui informasi selengkapnya, lihat Memanggil pribadi lokal, Compute Engine, GKE, atau endpoint lainnya.
Alur kerja juga dapat memanggil layanan Cloud Functions atau Cloud Run di project Google Cloud yang sama, dengan traffic masuk yang dibatasi untuk traffic internal. Dengan konfigurasi ini, layanan
Anda tidak dapat dijangkau dari internet, tetapi dapat dijangkau dari Workflows.
Untuk menerapkan batasan ini, Anda harus menyesuaikan setelan ingress layanan atau fungsi Anda. Perhatikan bahwa layanan Cloud Run harus dijangkau di URL run.app, bukan di domain kustom. Untuk mengetahui informasi selengkapnya, lihat Membatasi ingress (untuk Cloud Run) dan Mengonfigurasi setelan jaringan (untuk Cloud Functions). Tidak ada perubahan lain yang diperlukan pada alur kerja Anda.
Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Jika memiliki persyaratan kepatuhan atau peraturan khusus terkait kunci yang melindungi data, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk Alur kerja. Alur kerja Anda dan data dalam penyimpanan terkait dilindungi menggunakan kunci enkripsi yang hanya dapat Anda akses, serta dapat Anda kontrol dan kelola menggunakan Cloud Key Management Service (Cloud KMS). Untuk mengetahui informasi selengkapnya, lihat Menggunakan kunci enkripsi yang dikelola pelanggan.
Dukungan Kontrol Layanan VPC (SC VPC)
Kontrol Layanan VPC adalah mekanisme untuk memitigasi risiko pemindahan data yang tidak sah. Anda dapat menggunakan Kontrol Layanan VPC dengan Workflows untuk membantu melindungi layanan Anda. Untuk mengetahui informasi selengkapnya, baca artikel Menyiapkan perimeter layanan menggunakan Kontrol Layanan VPC.
Secret Manager untuk menyimpan dan mengamankan data sensitif
Secret Manager adalah sistem penyimpanan yang aman dan nyaman untuk kunci API, sandi, sertifikat, dan data sensitif lainnya. Anda dapat menggunakan konektor Alur Kerja untuk mengakses Secret Manager dalam alur kerja. Hal ini menyederhanakan integrasi untuk Anda karena konektornya menangani pemformatan permintaan, serta menyediakan metode dan argumen sehingga Anda tidak perlu mengetahui detail Secret Manager API. Untuk mengetahui informasi selengkapnya, lihat Mengamankan dan menyimpan data sensitif menggunakan konektor Secret Manager.
Integrasi dengan Cloud Logging, Cloud Monitoring, dan Cloud Audit Logs
Log adalah sumber utama informasi diagnostik tentang kondisi alur kerja Anda. Dengan Logging, Anda dapat menyimpan, melihat, menelusuri, menganalisis, serta membuat pemberitahuan terkait data dan peristiwa log.
Workflows terintegrasi dengan Logging dan otomatis membuat log eksekusi untuk eksekusi alur kerja. Karena Logging memiliki sifat streaming, Anda dapat melihat log yang dihasilkan oleh alur kerja apa pun dengan segera, dan Anda dapat menggunakan Logging untuk memusatkan log dari semua alur kerja Anda. Anda juga dapat mengontrol kapan log dikirim ke Logging selama eksekusi alur kerja melalui logging panggilan atau log kustom. Untuk mengetahui detailnya, lihat Mengirim log ke Logging.
Selain memakai log, Anda biasanya perlu memantau aspek lain dari layanan Anda untuk memastikan operasi yang andal. Gunakan Monitoring untuk mendapatkan visibilitas tentang performa, waktu beroperasi, dan kondisi alur kerja secara keseluruhan.
Untuk melacak dan mengelola detail interaksi dengan resource Google Cloud, Anda dapat menggunakan Cloud Audit Logs untuk membantu merekam aktivitas seperti akses data. Gunakan kontrol IAM untuk membatasi siapa saja yang dapat melihat log audit. Untuk informasi selengkapnya, lihat Informasi logging audit alur kerja.
Kepatuhan terhadap standar
Untuk mengonfirmasi kepatuhan Workflows terhadap berbagai standar, lihat Kontrol kepatuhan.