由于工作流不包含代码或库依赖项,因此不需要 安全补丁部署工作流后,您可以可靠地执行工作流,而无需维护。此外,Workflows 还提供多项安全功能,并采取特定的合规性措施来满足企业安全要求。
数据加密
默认情况下,Google Cloud 使用多层加密来保护存储在 Google 生产数据中心内的用户数据。此默认加密发生在应用或存储基础架构层。您的设备与 Google Front End (GFE) 之间的流量使用强加密协议(如传输层安全协议 [TLS])进行加密。机密计算通过在加密隔离中执行计算来保护您正在使用的数据,并在多租户云环境中维护工作负载的机密性。有关 有关 Google Cloud 用于 有助于保护您的数据,请参阅 Google 安全概览。
身份和访问权限管理
由于每个工作流执行都需要进行经过身份验证的调用,因此您可以使用 Workflows 来降低意外或恶意调用的风险。Workflows 如何使用 Identity and Access Management (IAM) 角色和权限。您可以通过使用基于 IAM 的服务账号来简化与其他 Google Cloud API 的交互。有关详情,请参阅 向工作流授予访问 Google Cloud 资源的权限 和在工作流中发出经过身份验证的请求。
专用端点
工作流可以通过 HTTP 请求调用私有本地环境、Compute Engine、Google Kubernetes Engine (GKE) 或其他 Google Cloud 端点。您必须为专用服务启用 Identity-Aware Proxy (IAP) 以便 Workflows 调用该端点。有关 请参阅 调用专用本地端点、Compute Engine、GKE 或其他端点。
Workflows 还可以调用 Cloud Run 函数
或 Cloud Run 服务
仅限内部流量访问的入站流量通过这种配置,您的
服务无法通过互联网访问,但可以通过 Workflows 访问。
如需应用这些限制,您必须调整服务或函数的入站流量设置。请注意,Cloud Run 服务必须通过其 run.app 网址访问,而不是通过自定义网域访问。如需了解详情,请参阅限制入站流量(适用于 Cloud Run)和配置网络设置(适用于 Cloud Run 函数)。您的工作流无需进行其他更改。
客户管理的加密密钥 (CMEK)
如果您对密钥具有特定的合规性或监管要求 保护您数据的方法,您可以使用 客户管理的加密密钥 (CMEK),用于 Workflows。您的工作流和关联的静态数据将使用只有您可以访问的加密密钥进行保护,您可以使用 Cloud Key Management Service (Cloud KMS) 控制和管理这些静态数据。有关 相关信息,请参阅使用客户管理的加密密钥。
VPC Service Controls (VPC SC) 支持
VPC Service Controls 是一种降低数据渗漏风险的机制。 您可以将 VPC Service Controls 与 Workflows 搭配使用, 您的服务。如需了解详情,请参阅 使用 VPC Service Controls 设置服务边界。
使用 Secret Manager 存储和保护敏感数据
Secret Manager 是一个安全便捷的存储系统, API 密钥、密码、证书和其他敏感数据。您可以使用 用于访问 Secret Manager 的 Workflows 连接器 工作流。这可为您简化集成,因为 连接器处理请求的格式设置,并提供方法和参数, 因此您无需了解 Secret Manager API 的详细信息。 如需了解详情,请参阅 使用 Secret Manager 连接器保护和存储敏感数据。
与 Cloud Logging、Cloud Monitoring 和 Cloud Audit Logs 集成
日志是有关工作流运行状况的诊断信息的主要来源。日志记录可让您存储、查看 搜索、分析日志数据和事件,并根据这些数据和事件发出提醒。
Workflows 与 Logging 和 会自动为工作流执行情况生成执行日志。得益于 Logging 的流式传输特性,您可以立即查看任何工作流发出的日志,还可以使用 Logging 将所有工作流中的日志集中到一起。您还可以控制何时发送日志 通过通话记录或 自定义日志有关详情,请参阅 将日志发送到 Logging。
除了使用日志之外,您通常还需要监控服务的其他方面,以确保可靠运行。使用监控功能可以了解工作流的性能、正常运行时间和总体运行状况。
如需跟踪和维护与 Google Cloud 资源的互动详情,您可以使用 Cloud Audit Logs 来帮助捕获数据访问等活动。使用 IAM 控件可以限制哪些人员可以查看审核日志。如需了解详情,请参阅工作流和工作流执行的审核日志记录信息。
符合标准
要确认 Workflows符合各种标准,请参阅 合规性控制。