Poiché un flusso di lavoro non contiene codice o dipendenze di libreria, non richiede patch di sicurezza. Dopo aver eseguito il deployment di un flusso di lavoro, puoi aspettarti che venga eseguito in modo affidabile senza manutenzione. Inoltre, Workflows offre diverse funzionalità di sicurezza e adotta misure di conformità specifiche per soddisfare i requisiti di sicurezza aziendali.
Crittografia dei dati
Per impostazione predefinita, Google Cloud utilizza diversi livelli di crittografia per proteggere i dati utente archiviati nei data center di produzione di Google. Questa crittografia predefinita viene applicata al livello dell'applicazione o dell'infrastruttura di archiviazione. Il traffico tra i tuoi dispositivi e Google Front End (GFE) viene criptato tramite protocolli di crittografia avanzati, come TLS (Transport Layer Security). I dati in uso sono protetti e la riservatezza dei carichi di lavoro in un ambiente cloud multi-tenant viene mantenuta eseguendo i calcoli con isolamento crittografico. Per ulteriori informazioni sui principali controlli di sicurezza utilizzati da Google Cloud per contribuire a proteggere i tuoi dati, consulta la panoramica sulla sicurezza di Google.
Gestione di identità e accessi
Poiché ogni esecuzione di flusso di lavoro richiede una chiamata autenticata, puoi ridurre il rischio di chiamate accidentali o dannose utilizzando Workflows. Workflows gestisce l'accesso e l'autenticazione utilizzando i ruoli e le autorizzazioni IAM (Identity and Access Management). Puoi semplificare le interazioni con altre API Google Cloud utilizzando gli account di servizio basati su IAM. Per maggiori dettagli, vedi Concedere l'autorizzazione dei flussi di lavoro per l'accesso alle risorse Google Cloud ed Effettuare richieste autenticate da un flusso di lavoro.
Endpoint privati
Workflows può richiamare un endpoint on-premise privato, Compute Engine, Google Kubernetes Engine (GKE) o un altro endpoint Google Cloud tramite una richiesta HTTP. Devi abilitare Identity-Aware Proxy (IAP) per l'endpoint privato in modo che Workflows possa richiamare l'endpoint. Per ulteriori informazioni, consulta Richiamare un endpoint privato on-prem, Compute Engine, GKE o un altro endpoint.
Workflows può anche richiamare i servizi Cloud Functions o Cloud Run nello stesso progetto Google Cloud il cui traffico in entrata è limitato al traffico interno. Con questa configurazione, i tuoi servizi non sono raggiungibili da internet, ma possono essere raggiunti da Workflows.
Per applicare queste restrizioni, devi modificare le impostazioni di traffico in entrata del servizio o della funzione. Tieni presente che il servizio Cloud Run deve essere
raggiunto tramite il relativo URL run.app e non presso un dominio personalizzato. Per ulteriori informazioni, consulta Limitazione del traffico in entrata (per Cloud Run) e Configurazione delle impostazioni di rete (per Cloud Functions). Non sono necessarie altre modifiche al flusso di lavoro.
Chiavi di crittografia gestite dal cliente (CMEK)
Se hai requisiti normativi o di conformità specifici relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare chiavi di crittografia gestite dal cliente (CMEK) per Workflows. Il tuo flusso di lavoro e i dati at-rest associati sono protetti da una chiave di crittografia a cui puoi accedere solo tu e che puoi controllare e gestire utilizzando Cloud Key Management Service (Cloud KMS). Per ulteriori informazioni, consulta Utilizzare le chiavi di crittografia gestite dal cliente.
Supporto per i Controlli di servizio VPC (VPC SC)
Controlli di servizio VPC è un meccanismo per mitigare i rischi di esfiltrazione di dati. Puoi utilizzare Controlli di servizio VPC con Workflows per proteggere i tuoi servizi. Per maggiori informazioni, consulta Configurare un perimetro di servizio utilizzando i Controlli di servizio VPC.
Secret Manager per archiviare e proteggere i dati sensibili
Secret Manager è un sistema di archiviazione pratico e sicuro per chiavi API, password, certificati e altri dati sensibili. Puoi utilizzare un connettore Workflows per accedere a Secret Manager all'interno di un flusso di lavoro. Ciò semplifica l'integrazione, poiché il connettore gestisce la formattazione delle richieste e fornisce metodi e argomenti in modo che non sia necessario conoscere i dettagli dell'API Secret Manager. Per maggiori informazioni, consulta Proteggere e archiviare i dati sensibili utilizzando il connettore Secret Manager.
Integrazione con Cloud Logging, Cloud Monitoring e Cloud Audit Logs
I log sono una fonte principale di informazioni diagnostiche sull'integrità dei flussi di lavoro. Logging ti consente di archiviare, visualizzare, cercare, analizzare e creare avvisi su dati di log ed eventi.
Workflows è integrato con Logging e genera automaticamente log di esecuzione per le esecuzioni dei flussi di lavoro. Grazie alla natura in modalità flusso di Logging, puoi visualizzare i log emessi immediatamente da qualsiasi flusso di lavoro e utilizzare Logging per centralizzare i log di tutti i flussi di lavoro. Puoi anche controllare quando i log vengono inviati a Logging durante l'esecuzione di un flusso di lavoro tramite il logging delle chiamate o log personalizzati. Per maggiori dettagli, consulta Inviare i log a Logging.
Oltre a utilizzare i log, in genere è necessario monitorare altri aspetti dei servizi per garantire un funzionamento affidabile. Utilizza Monitoring per ottenere visibilità su prestazioni, uptime e integrità complessiva dei tuoi flussi di lavoro.
Per tenere traccia e gestire i dettagli delle interazioni con le risorse Google Cloud, puoi utilizzare Cloud Audit Logs per acquisire attività come l'accesso ai dati. Utilizza i controlli IAM per limitare gli utenti che possono visualizzare gli audit log. Per ulteriori informazioni, consulta Informazioni sull'audit logging di Workflows.
Conformità agli standard
Per confermare la conformità di Workflows ai vari standard, consulta Controlli di conformità.