Uma vez que um fluxo de trabalho não contém dependências de código nem de biblioteca, não requer patches de segurança. Depois de implementar um fluxo de trabalho, pode esperar que seja executado de forma fiável sem manutenção. Além disso, o Workflows oferece várias funcionalidades de segurança e toma medidas de conformidade específicas para satisfazer os requisitos de segurança empresariais.
Encriptação de dados
Por predefinição, Google Cloud usa várias camadas de encriptação para proteger os dados dos utilizadores armazenados nos centros de dados de produção da Google. Esta encriptação predefinida ocorre na camada de infraestrutura de armazenamento ou de aplicação. O tráfego entre os seus dispositivos e o front-end da Google (GFE) é encriptado através de protocolos de encriptação fortes, como o Transport Layer Security (TLS). Os seus dados em utilização são protegidos e a confidencialidade das cargas de trabalho num ambiente de nuvem multiinquilino é mantida através da realização de cálculos em isolamento criptográfico. Para mais informações sobre os principais controlos de segurança que o Google Cloud utiliza para ajudar a proteger os seus dados, consulte a vista geral da segurança da Google.
Gestão de identidade e de acesso
Uma vez que cada execução do fluxo de trabalho requer uma chamada autenticada, pode mitigar o risco de chamadas acidentais ou maliciosas através dos fluxos de trabalho. Os fluxos de trabalho gerem o acesso e a autenticação através de funções e autorizações da gestão de identidade e de acesso (IAM). Pode simplificar as interações com outras Google Cloud APIs através de contas de serviço baseadas no IAM. Para ver detalhes, consulte os artigos Conceda uma autorização de fluxo de trabalho para aceder a Google Cloud recursos e Faça pedidos autenticados a partir de um fluxo de trabalho.
Pontos finais privados
Os fluxos de trabalho podem invocar um ponto final privado no local, do Compute Engine, do Google Kubernetes Engine (GKE) ou outro Google Cloud através de um pedido HTTP. Tem de ativar o Identity-Aware Proxy (IAP) para o ponto final privado para que os fluxos de trabalho possam invocar o ponto final. Para mais informações, consulte o artigo Invocar um ponto final privado no local, do Compute Engine, do GKE ou outro.
Os fluxos de trabalho também podem invocar funções do Cloud Run
ou serviços do Cloud Run no mesmo Google Cloud projeto
que tenham a entrada restrita ao tráfego interno. Com esta configuração, os seus serviços não são acessíveis a partir da Internet, mas podem ser acedidos a partir do Workflows.
Para aplicar estas restrições, tem de ajustar as definições de entrada do seu serviço ou função. Tenha em atenção que o serviço Cloud Run tem de ser
acessível no respetivo URL run.appe não num domínio personalizado. Para mais informações,
consulte Restringir a entrada (para o Cloud Run)
e Configurar definições de rede
(para funções do Cloud Run). Não são necessárias outras alterações ao seu fluxo de trabalho.
Chaves de encriptação geridas pelo cliente (CMEK)
Se tiver requisitos de conformidade ou regulamentares específicos relacionados com as chaves que protegem os seus dados, pode usar chaves de encriptação geridas pelo cliente (CMEK) para os Workflows. O seu fluxo de trabalho e os dados em repouso associados estão protegidos através de uma chave de encriptação à qual só o utilizador pode aceder e que pode controlar e gerir através do Cloud Key Management Service (Cloud KMS). Para mais informações, consulte o artigo Use chaves de encriptação geridas pelo cliente.
Suporte dos VPC Service Controls (VPC SC)
Os VPC Service Controls são um mecanismo para mitigar os riscos de exfiltração de dados. Pode usar os VPC Service Controls com os Workflows para ajudar a proteger os seus serviços. Para mais informações, consulte o artigo Configure um perímetro de serviço com o VPC Service Controls.
Secret Manager para armazenar e proteger dados confidenciais
O Secret Manager é um sistema de armazenamento seguro e conveniente para chaves de API, palavras-passe, certificados e outros dados confidenciais. Pode usar um conector do Workflows para aceder ao Secret Manager num fluxo de trabalho. Isto simplifica a integração para si, porque o conector processa a formatação dos pedidos e fornece métodos e argumentos para que não precise de conhecer os detalhes da API Secret Manager. Para mais informações, consulte o artigo Proteja e armazene dados confidenciais através do conetor do Secret Manager.
Integração com o Cloud Logging, o Cloud Monitoring e os registos de auditoria do Cloud
Os registos são uma fonte principal de informações de diagnóstico sobre o estado de funcionamento dos seus fluxos de trabalho. O Logging permite-lhe armazenar, ver, pesquisar, analisar e alertar sobre dados de registos e eventos.
O Workflows está integrado com o Logging e gera automaticamente registos de execução para execuções de fluxos de trabalho. Devido à natureza de streaming do Logging, pode ver os registos que qualquer fluxo de trabalho emite imediatamente e pode usar o Logging para centralizar os registos de todos os seus fluxos de trabalho. Também pode controlar quando os registos são enviados para o registo durante a execução de um fluxo de trabalho através do registo de chamadas ou de registos personalizados. Para ver detalhes, consulte o artigo Envie registos para o Logging.
Além de consumir registos, normalmente, tem de monitorizar outros aspetos dos seus serviços para garantir um funcionamento fiável. Use a Monitorização para ter visibilidade do desempenho, do tempo de atividade e do estado geral dos seus fluxos de trabalho.
Para acompanhar e manter os detalhes das interações com os seus Google Cloud recursos, pode usar os registos de auditoria do Cloud para ajudar a captar atividade, como o acesso aos dados. Use os controlos da IAM para limitar quem pode ver os registos de auditoria. Para mais informações, consulte as informações de registo de auditoria para fluxos de trabalho e execuções de fluxos de trabalho.
Conformidade com as normas
Para confirmar a conformidade dos fluxos de trabalho com várias normas, consulte os Controlos de conformidade.