Workflows 보안 개요

워크플로에는 코드 또는 라이브러리 종속 항목이 없으므로 보안 패치가 필요하지 않습니다. 워크플로를 배포한 후에는 유지보수 없이 안정적으로 실행될 것으로 기대해도 좋습니다. 또한 Workflows는 여러 보안 기능을 제공하며 기업 보안 요구사항을 충족하기 위해 특정 규정 준수 조치를 취합니다.

데이터 암호화

기본적으로 Google Cloud는 여러 암호화 레이어를 사용하여 Google 프로덕션 데이터 센터에 저장된 사용자 데이터를 보호합니다. 이러한 기본 암호화는 애플리케이션 또는 스토리지 인프라 레이어에서 진행됩니다. 기기와 Google 프런트엔드(GFE) 간의 트래픽은 전송 계층 보안(TLS)과 같은 강력한 암호화 프로토콜을 사용하여 암호화됩니다. 사용 중인 데이터는 보호되며 암호화 격리에서 계산을 수행하여 멀티 테넌트 클라우드 환경의 워크로드 기밀이 유지됩니다. Google Cloud가 데이터 보호를 위해 사용하는 주요 보안 제어 수단에 대한 자세한 내용은 Google 보안 개요를 참조하세요.

ID 및 액세스 관리

모든 워크플로 실행 시 인증된 호출이 필요하므로 Workflows를 사용하여 우발적이거나 악의적인 호출 위험을 완화할 수 있습니다. Workflows는 Identity and Access Management(IAM) 역할 및 권한을 사용하여 액세스 및 인증을 관리합니다. IAM 기반 서비스 계정을 사용하여 다른 Google Cloud API와의 상호작용을 단순화할 수 있습니다. 자세한 내용은 워크플로에 Google Cloud 리소스 액세스 권한 부여워크플로에서 인증된 요청 수행을 참조하세요.

비공개 엔드포인트

Workflows는 HTTP 요청을 통해 비공개 온프레미스, Compute Engine, Google Kubernetes Engine(GKE) 또는 기타 Google Cloud 엔드포인트를 호출할 수 있습니다. Workflows가 엔드포인트를 호출할 수 있도록 비공개 엔드포인트에 IAP(Identity-Aware Proxy)를 사용 설정해야 합니다. 자세한 내용은 비공개 온프렘, Compute Engine, GKE 또는 기타 엔드포인트 호출을 참조하세요.

또한 Workflows는 동일한 Google Cloud 프로젝트에서 내부 트래픽으로 제한된 인그레스가 있는 Cloud Run 함수 또는 Cloud Run 서비스를 호출할 수 있습니다. 이 구성을 사용하면 인터넷에서 서비스에 연결할 수 없지만 Workflows에서 연결할 수 있습니다. 이러한 제한사항을 적용하려면 서비스 또는 함수의 인그레스 설정을 조정해야 합니다. Cloud Run 서비스는 커스텀 도메인이 아닌 run.app URL로 연결되어야 합니다. 자세한 내용은 인그레스 제한(Cloud Run의 경우) 및 네트워크 설정 구성(Cloud Run 함수의 경우)을 참조하세요. 워크플로에서 다른 변경사항은 필요하지 않습니다.

고객 관리 암호화 키(CMEK)

데이터를 보호하는 키와 관련된 특정 규정 준수 또는 규제 요구사항이 있으면 Workflows에 고객 관리 암호화 키(CMEK)를 사용할 수 있습니다. 워크플로 및 저장 데이터는 사용자만 액세스할 수 있는 암호화 키를 사용하여 보호되며 Cloud Key Management Service(Cloud KMS)를 사용하여 제어 및 관리할 수 있습니다. 자세한 내용은 고객 관리 암호화 키 사용을 참조하세요.

VPC 서비스 제어(VPC SC) 지원

VPC 서비스 제어는 데이터 무단 반출 위험을 완화할 수 있는 메커니즘입니다. Workflows에서 VPC 서비스 제어를 사용하면 서비스를 보호할 수 있습니다. 자세한 내용은 VPC 서비스 제어를 사용하여 서비스 경계 설정을 참조하세요.

민감한 정보를 저장 및 보호하는 Secret Manager

Secret Manager는 API 키, 비밀번호, 인증서, 기타 민감한 정보를 위한 안전하고 편리한 스토리지 시스템입니다. Workflows 커넥터를 사용해서 워크플로 내에서 Secret Manager에 액세스할 수 있습니다. 이렇게 하면 커넥터가 요청 형식을 처리하고 Secret Manager API의 세부정보를 알 필요가 없도록 메서드와 인수를 제공하므로 통합이 간소화됩니다. 자세한 내용은 Secret Manager 커넥터를 사용하여 민감한 정보 보호 및 저장을 참조하세요.

Cloud Logging, Cloud Monitoring, Cloud 감사 로그와 통합

로그는 워크플로 상태 관련 진단 정보를 얻는 기본 소스입니다. Logging을 사용하면 로그 데이터와 이벤트를 저장, 조회, 검색, 분석하고 알림을 받을 수 있습니다.

Workflows는 Logging과 통합되며 워크플로 실행을 위한 실행 로그를 자동으로 생성합니다. Logging의 스트리밍 특성으로 인해 모든 워크플로에서 즉시 내보내는 로그를 볼 수 있으며 Logging을 사용하여 모든 워크플로의 로그를 중앙 집중할 수 있습니다. 호출 로깅 또는 커스텀 로그를 통해 워크플로 실행 중 Logging으로 로그가 전송되는 경우를 제어할 수도 있습니다. 자세한 내용은 Logging에 로그 전송을 참조하세요.

안정적인 운영을 보장하려면 로그 확인은 물론 서비스의 다른 측면을 모니터링하는 작업도 필요합니다. Monitoring을 사용하면 워크플로의 성능, 업타임, 전반적인 상태를 파악할 수 있습니다.

Google Cloud 리소스와의 상호작용 세부정보를 추적하고 유지하려면 Cloud 감사 로그를 사용하여 데이터 액세스와 같은 활동을 캡처할 수 있습니다. IAM 제어를 사용하여 감사 로그를 볼 수 있는 사용자를 제한합니다. 자세한 내용은 워크플로워크플로 실행의 감사 로깅 정보를 참조하세요.

표준 준수

Workflows가 다양한 표준을 준수하는지 확인하려면 규정 준수 제어를 참조하세요.

다음 단계