由於工作流程不含任何程式碼或程式庫依附元件,因此不需要安全性修補程式。部署工作流程後,您可以放心,工作流程會可靠執行,無須維護。此外,Workflows 提供多項安全功能,並採取特定法規遵循措施,滿足企業安全性要求。
資料加密
根據預設, Google Cloud 會使用多層加密技術,保護儲存在 Google 正式版資料中心的使用者資料。這個預設加密作業會在應用程式或儲存空間基礎架構層執行。裝置與 Google Front End (GFE) 之間的流量會使用傳輸層安全標準 (TLS) 等強效加密通訊協定進行加密。透過在加密編譯隔離環境中執行運算,保護使用中的資料,並維持多租戶雲端環境中工作負載的機密性。如要進一步瞭解 Google Cloud 用於保護資料的主要安全控制項,請參閱 Google 安全性總覽。
身分與存取權管理
由於每個工作流程執行作業都需要經過驗證的呼叫,因此您可以使用工作流程來降低意外或惡意呼叫的風險。Workflows 會使用 Identity and Access Management (IAM) 角色和權限管理存取權和驗證機制。您可以使用以 IAM 為基礎的服務帳戶,簡化與其他 Google Cloud API 的互動。詳情請參閱「授予工作流程權限,以便存取 Google Cloud 資源」和「透過工作流程提出經過驗證的要求」。
私人端點
工作流程可以透過 HTTP 要求,叫用私人內部部署、Compute Engine、Google Kubernetes Engine (GKE) 或其他 Google Cloud 端點。您必須為私人端點啟用 Identity-Aware Proxy (IAP),才能讓工作流程叫用端點。詳情請參閱「呼叫私人內部端點、Compute Engine、GKE 或其他端點」。
工作流程也可以在同一個 Google Cloud 專案中叫用 Cloud Run 函式或 Cloud Run 服務,但該專案的入站流量僅限於內部流量。在這種設定下,服務無法從網際網路存取,但可透過工作流程存取。如要套用這些限制,您必須調整服務或函式的入站設定。請注意,您必須透過 Cloud Run 服務的 run.app 網址存取,而非自訂網域。詳情請參閱「限制輸入」(適用於 Cloud Run) 和「設定網路設定」(適用於 Cloud Run 函式)。您不必在工作流程中進行其他變更。
由客戶管理的加密金鑰 (CMEK)
如果您有與保護資料金鑰相關的特定法規或法規要求,可以使用客戶自行管理的加密金鑰 (CMEK) 來建立工作流程。您的工作流程和相關靜態資料會透過加密金鑰受到保護,這組金鑰只有您可以存取,而且您可以使用 Cloud Key Management Service (Cloud KMS) 控制及管理這組金鑰。詳情請參閱「使用客戶管理的加密金鑰」。
支援 VPC Service Controls (VPC SC)
VPC Service Controls 是一種機制,可降低資料竊取風險。您可以將 VPC Service Controls 與工作流程搭配使用,以便保護服務。詳情請參閱「使用 VPC Service Controls 設定服務範圍」。
使用 Secret Manager 儲存及保護機密資料
Secret Manager 是安全又便利的儲存系統,可以儲存 API 金鑰、密碼、憑證和其他機密資料。您可以使用工作流程連接器,在工作流程中存取 Secret Manager。這可簡化整合作業,因為連接器會處理要求的格式化作業,並提供方法和引數,讓您不必瞭解 Secret Manager API 的詳細資料。詳情請參閱「使用 Secret Manager 連接器保護及儲存機密資料」。
與 Cloud Logging、Cloud Monitoring 和 Cloud 稽核記錄整合
記錄是工作流程健康狀態診斷資訊的主要來源。Logging 可讓您儲存、查看、搜尋、分析記錄資料和事件,並發出相關快訊。
工作流程與記錄整合,並會自動產生工作流程執行作業的執行記錄。由於 Logging 具有串流特性,您可以立即查看任何工作流程發出的記錄,並使用 Logging 集中管理所有工作流程的記錄。您也可以透過呼叫記錄或自訂記錄,控制工作流程執行期間記錄傳送至記錄的時間。詳情請參閱「將記錄傳送至 Logging」。
除了使用記錄外,您通常還需要監控服務的其他層面,以利保持穩定運作。使用監控功能,掌握工作流程的效能、運作時間和整體健康狀態。
如要追蹤並記錄與 Google Cloud資源互動的詳細資料,您可以使用 Cloud 稽核記錄來擷取資料存取等活動。使用 IAM 控制項限制有權查看稽核記錄的人。詳情請參閱工作流程和工作流程執行作業的稽核記錄資訊。
符合標準
如要確認 Workflow 是否符合各種標準,請參閱「法規遵循控制項」。