Poiché un flusso di lavoro non contiene dipendenze di codice o librerie, non richiede patch di sicurezza. Una volta implementato un flusso di lavoro, puoi aspettarti che venga eseguito in modo affidabile senza manutenzione. Inoltre, Workflows offre diverse funzionalità di sicurezza e adotta misure di conformità specifiche per soddisfare i requisiti di sicurezza delle aziende.
Crittografia dei dati
Per impostazione predefinita, Google Cloud utilizza diversi livelli di crittografia per proteggere i dati degli utenti archiviati nei data center di produzione di Google. Questa crittografia predefinita avviene a livello di applicazione o di infrastruttura di archiviazione. Il traffico tra i tuoi dispositivi e Google Front End (GFE) viene criptato utilizzando protocolli di crittografia avanzata come Transport Layer Security (TLS). I dati in uso sono protetti e la riservatezza per i carichi di lavoro in un ambiente cloud multi-tenant viene mantenuta mediante l'esecuzione del calcolo in isolamento crittografico. Per ulteriori informazioni sui principali controlli di sicurezza utilizzati da Google Cloud per contribuire a proteggere i tuoi dati, consulta la Panoramica della sicurezza di Google.
Gestione di identità e accessi
Poiché ogni esecuzione di flusso di lavoro richiede una chiamata autenticata, puoi ridurre il rischio di chiamate accidentali o dannose utilizzando Workflows. Workflows gestiscono l'accesso e l'autenticazione utilizzando i ruoli e le autorizzazioni di Identity and Access Management (IAM). Puoi semplificare le interazioni con altre API Google Cloud utilizzando account di servizio basati su IAM. Per informazioni dettagliate, consulta Concedere l'autorizzazione di un flusso di lavoro per accedere alle risorse Google Cloud e Eseguire richieste autenticate da un flusso di lavoro.
Endpoint privati
Workflows possono richiamare un endpoint privato on-premise, Compute Engine, Google Kubernetes Engine (GKE) o un altro endpoint Google Cloud tramite una richiesta HTTP. Devi attivare Identity-Aware Proxy (IAP) per l'endpoint privato in modo che i Workflows possano invocarlo. Per ulteriori informazioni, consulta Eseguire l'invocazione di un endpoint privato on-premise, Compute Engine, GKE o di altro tipo.
Workflows possono anche richiamare funzioni Cloud Run o servizi Cloud Run nello stesso progetto Google Cloud con l'accesso limitato al traffico interno. Con questa configurazione, i servizi non sono raggiungibili da internet, ma possono essere raggiunti da Workflows.
Per applicare queste limitazioni, devi modificare le impostazioni di ingresso del servizio o della funzione. Tieni presente che il servizio Cloud Run deve essere raggiunto tramite il relativo URL run.app e non tramite un dominio personalizzato. Per ulteriori informazioni, consulta Limitazione del traffico in entrata (per Cloud Run) e Configurazione delle impostazioni di rete (per le funzioni Cloud Run). Non sono necessarie altre modifiche al flusso di lavoro.
Chiavi di crittografia gestite dal cliente (CMEK)
Se hai requisiti di conformità o normativi specifici relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per Workflows. Il flusso di lavoro e i dati attivi associati vengono protetti utilizzando una chiave di crittografia a cui solo tu puoi accedere e che puoi controllare e gestire utilizzando Cloud Key Management Service (Cloud KMS). Per ulteriori informazioni, vedi Utilizzare le chiavi di crittografia gestite dal cliente.
Supporto di Controlli di servizio VPC (VPC SC)
I Controlli di servizio VPC sono un meccanismo per mitigare i rischi di esfiltrazione di dati. Puoi utilizzare i Controlli di servizio VPC con Workflows per contribuire a proteggere i tuoi servizi. Per ulteriori informazioni, consulta Configurare un perimetro di servizio utilizzando i Controlli di servizio VPC.
Secret Manager per archiviare e proteggere i dati sensibili
Secret Manager è un sistema di archiviazione pratico e sicuro per chiavi API, password, certificati e altri dati sensibili. Puoi utilizzare un connettore Workflows per accedere a Secret Manager all'interno di un workflow. In questo modo l'integrazione è più semplice, perché il connettore gestisce la formattazione delle richieste e fornisce metodi e argomenti in modo da non dover conoscere i dettagli dell'API Secret Manager. Per ulteriori informazioni, consulta Proteggere e archiviare i dati sensibili utilizzando il connettore Secret Manager.
Integrazione con Cloud Logging, Cloud Monitoring e Cloud Audit Logs
I log sono una fonte principale di informazioni di diagnostica sullo stato dei tuoi flussi di lavoro. Logging ti consente di archiviare, visualizzare, trovare, analizzare e creare avvisi su dati di log ed eventi.
Workflows è integrato con Logging e genera automaticamente i log di esecuzione per le esecuzioni dei workflow. A causa della natura in streaming di Logging, puoi visualizzare immediatamente i log emessi da qualsiasi flusso di lavoro e utilizzare Logging per centralizzare i log di tutti i tuoi flussi di lavoro. Puoi anche controllare quando i log vengono inviati a Logging durante l'esecuzione di un flusso di lavoro tramite il logging delle chiamate o log personalizzati. Per maggiori dettagli, consulta Inviare log a Logging.
Oltre a utilizzare i log, in genere devi monitorare altri aspetti dei tuoi servizi per garantire un funzionamento affidabile. Utilizza Monitoraggio per avere visibilità su prestazioni, uptime e integrità complessiva dei tuoi flussi di lavoro.
Per monitorare e gestire i dettagli delle interazioni con le tue risorse Google Cloud, puoi utilizzare gli audit log di Cloud per acquisire attività come l'accesso ai dati. Utilizza i controlli IAM per limitare chi può visualizzare gli audit log. Per ulteriori informazioni, consulta le informazioni sui log di controllo per workflow e esecuzioni dei workflow.
Conformità agli standard
Per verificare la conformità di Workflows a vari standard, consulta Controlli di conformità.