Poiché un flusso di lavoro non contiene dipendenze di codice o librerie, non richiede patch di sicurezza. Una volta implementato un flusso di lavoro, puoi aspettarti che venga eseguito in modo affidabile senza manutenzione. Inoltre, Workflows offre diverse funzionalità di sicurezza e adotta misure di conformità specifiche per soddisfare requisiti di sicurezza aziendali.
Crittografia dei dati
Per impostazione predefinita, Google Cloud utilizza diversi livelli di crittografia per proteggere i dati degli utenti archiviati nei data center di produzione di Google. Questa crittografia predefinita si verifica al livello dell'applicazione o dell'infrastruttura di archiviazione. Traffico tra dispositivi e Google Front End (GFE) è criptato con una crittografia efficace come Transport Layer Security (TLS). I dati in uso sono protetti e la riservatezza per i carichi di lavoro in un ambiente cloud multi-tenant viene mantenuta mediante l'esecuzione del calcolo in isolamento crittografico. Per maggiori informazioni informazioni sui principali controlli di sicurezza utilizzati da Google Cloud proteggere i dati, vedi Panoramica sulla sicurezza di Google.
Gestione di identità e accessi
Poiché ogni esecuzione di flusso di lavoro richiede una chiamata autenticata, puoi ridurre il rischio di chiamate accidentali o dannose utilizzando Workflows. Workflows gestisce l'accesso e l'autenticazione utilizzando Ruoli e autorizzazioni di Identity and Access Management (IAM). Puoi semplificare interazioni con altre API Google Cloud mediante Account di servizio basati su IAM. Per maggiori dettagli, vedi Concedi l'autorizzazione dei flussi di lavoro per l'accesso alle risorse Google Cloud e Effettuare richieste autenticate da un flusso di lavoro.
Endpoint privati
I flussi di lavoro possono richiamare un endpoint privato on-premise, Compute Engine, Google Kubernetes Engine (GKE) o un altro endpoint Google Cloud tramite una richiesta HTTP. Devi abilitare Identity-Aware Proxy (IAP) per l'account privato in modo che Workflows possa richiamare l'endpoint. Per ulteriori informazioni, consulta Eseguire l'invocazione di un endpoint privato on-premise, Compute Engine, GKE o di altro tipo.
I flussi di lavoro possono anche richiamare funzioni o servizi Cloud Run nello stesso progetto Google Cloud con l'accesso limitato al traffico interno. Con questa configurazione, i servizi non sono raggiungibili da internet, ma possono essere raggiunti da Workflows.
Per applicare queste limitazioni, devi modificare le impostazioni di ingresso del servizio o della funzione. Tieni presente che il servizio Cloud Run deve essere
raggiunto al relativo URL run.app e non in un dominio personalizzato. Per ulteriori informazioni, consulta Limitazione del traffico in entrata (per Cloud Run) e Configurazione delle impostazioni di rete (per le funzioni Cloud Run). Non sono necessarie altre modifiche al flusso di lavoro.
Chiavi di crittografia gestite dal cliente (CMEK)
Se hai requisiti normativi o di conformità specifici relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare chiavi di crittografia gestite dal cliente (CMEK) per Workflows. Il flusso di lavoro e i dati attivi associati vengono protetti utilizzando una chiave di crittografia a cui solo tu puoi accedere e che puoi controllare e gestire utilizzando Cloud Key Management Service (Cloud KMS). Per ulteriori informazioni, vedi Utilizzare le chiavi di crittografia gestite dal cliente.
Supporto dei Controlli di servizio VPC (VPC SC)
I Controlli di servizio VPC sono un meccanismo per mitigare i rischi di esfiltrazione di dati. Puoi utilizzare Controlli di servizio VPC con Workflows per proteggere i tuoi servizi. Per ulteriori informazioni, consulta Configurare un perimetro di servizio utilizzando i Controlli di servizio VPC.
Secret Manager per archiviare e proteggere i dati sensibili
Secret Manager è un sistema di archiviazione pratico e sicuro per chiavi API, password, certificati e altri dati sensibili. Puoi utilizzare un connettore Workflows per accedere a Secret Manager all'interno di un flusso di lavoro. Ciò semplifica l'integrazione, in quanto gestisce la formattazione delle richieste e fornisce metodi e argomenti quindi non devi conoscere i dettagli dell'API Secret Manager. Per ulteriori informazioni, consulta Proteggere e archiviare i dati sensibili utilizzando il connettore Secret Manager.
Integrazione con Cloud Logging, Cloud Monitoring e Cloud Audit Logs
I log sono una fonte principale di informazioni diagnostiche sullo stato dei tuoi flussi di lavoro. Logging ti consente di archiviare, visualizzare, trovare, analizzare e creare avvisi su dati di log ed eventi.
Workflows è integrato con Logging e genera automaticamente i log per le esecuzioni del flusso di lavoro. A causa della natura in streaming di Logging, puoi visualizzare immediatamente i log emessi da qualsiasi flusso di lavoro e utilizzare Logging per centralizzare i log di tutti i tuoi flussi di lavoro. Puoi anche controllare quando i log vengono inviati a Logging durante l'esecuzione di un flusso di lavoro tramite il logging delle chiamate o log personalizzati. Per maggiori dettagli, consulta Inviare log a Logging.
Oltre a utilizzare i log, in genere devi monitorare altri aspetti dei tuoi servizi per garantire un funzionamento affidabile. Utilizza Monitoraggio per avere maggiore visibilità su prestazioni, uptime e integrità complessiva dei tuoi flussi di lavoro.
Per monitorare e gestire i dettagli delle interazioni con le tue risorse Google Cloud, puoi utilizzare gli audit log di Cloud per acquisire attività come l'accesso ai dati. Utilizza i controlli IAM per limitare gli utenti che possono e visualizzare gli audit log. Per ulteriori informazioni, consulta le informazioni sull'audit logging per flussi di lavoro e esecuzioni dei flussi di lavoro.
Conformità agli standard
Per confermare il valore di Workflows la conformità ai vari standard, consulta Controlli di conformità.