Da ein Workflow keine Code- oder Bibliotheksabhängigkeiten enthält, sind keine Sicherheitspatches erforderlich. Nachdem Sie einen Workflow bereitgestellt haben, können Sie davon ausgehen, dass er zuverlässig und ohne Wartung ausgeführt wird. Außerdem bietet Workflows mehrere Sicherheitsfunktionen und ergreift spezifische Compliance-Maßnahmen, um die Sicherheitsanforderungen von Unternehmen zu erfüllen.
Datenverschlüsselung
Standardmäßig nutzt Google Cloud verschiedene Verschlüsselungsebenen, um Nutzerdaten zu schützen, die in Google-Produktionsrechenzentren gespeichert sind. Diese Standardverschlüsselung erfolgt auf der Anwendungs- oder Speicherinfrastrukturebene. Der Traffic zwischen Ihren Geräten und dem Google Front End (GFE) wird mithilfe von starken Verschlüsselungsprotokollen wie Transport Layer Security (TLS) verschlüsselt. Ihre verwendeten Daten werden geschützt und die Vertraulichkeit für Arbeitslasten in einer mehrmandantenfähigen Cloud-Umgebung wird aufrechterhalten, indem Berechnungen in kryptografischer Isolation durchgeführt werden. Weitere Informationen zu den wichtigsten Sicherheitskontrollen, die Google Cloud zum Schutz Ihrer Daten verwendet, finden Sie in der Google-Sicherheitsübersicht.
Identitäts- und Zugriffsverwaltung
Da für jede Workflow-Ausführung ein authentifizierter Aufruf erforderlich ist, können Sie das Risiko versehentlicher oder böswilliger Aufrufe mit Workflows verringern. Workflows verwaltet den Zugriff und die Authentifizierung mithilfe von IAM-Rollen und -Berechtigungen (Identity and Access Management). Sie können die Interaktion mit anderen Google Cloud APIs vereinfachen, indem Sie IAM-basierte Dienstkonten verwenden. Weitere Informationen finden Sie unter Zugriff auf Google Cloud -Ressourcen für einen Workflow gewähren und Authentifizierte Anfragen von einem Workflow aus ausführen.
Sie können Workflows verwenden, um einen Endpunkt aufzurufen, für den Identity-Aware Proxy (IAP) aktiviert wurde. IAP überprüft die Identität und erzwingt die Autorisierung auf Anwendungsebene. So können Sie ein Zugriffssteuerungsmodell auf Anwendungsebene verwenden, anstatt sich auf Firewalls auf Netzwerkebene zu verlassen. Wenn eine Anwendung oder Ressource durch IAP geschützt ist, kann nur über den Proxy von Hauptkonten mit der richtigen IAM-Rolle (Identity and Access Management) darauf zugegriffen werden. Weitere Informationen finden Sie unter IAP-geschützten Endpunkt aufrufen.
Eingeschränkter eingehender Netzwerktraffic
Workflows können auch Cloud Run Functions oder Cloud Run-Dienste im selben Google Cloud Projekt aufrufen, die eingehenden Traffic auf internen Traffic beschränken. Mit dieser Konfiguration sind Ihre Dienste nicht über das Internet erreichbar, können aber über Workflows erreicht werden.
Wenn Sie diese Einschränkungen anwenden möchten, müssen Sie die Einstellungen für eingehenden Traffic Ihres Dienstes oder Ihrer Funktion anpassen. Der Cloud Run-Dienst muss über seine run.app-URL und nicht über eine benutzerdefinierte Domain erreichbar sein. Weitere Informationen finden Sie unter Eingehenden Traffic einschränken (für Cloud Run) und Netzwerkeinstellungen konfigurieren (für Cloud Run Functions). Sie müssen keine weiteren Änderungen an Ihrem Workflow vornehmen.
Kunden-verwaltete Verschlüsselungsschlüssel (CMEK)
Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel verwenden. Ihr Workflow und die zugehörigen inaktiven Daten werden mit einem Verschlüsselungsschlüssel geschützt, auf den nur Sie zugreifen können und den Sie mit Cloud Key Management Service (Cloud KMS) verwalten können. Weitere Informationen finden Sie unter vom Kunden verwaltete Verschlüsselungsschlüssel verwenden.
Unterstützung von VPC Service Controls (VPC SC)
VPC Service Controls ist ein Mechanismus, um das Risiko der Daten-Exfiltrierung zu verringern. Sie können VPC Service Controls mit Workflows verwenden, um Ihre Dienste zu schützen. Weitere Informationen finden Sie unter Dienstperimeter mit VPC Service Controls einrichten.
Secret Manager zum Speichern und Sichern sensibler Daten
Secret Manager bietet eine sichere und bequeme Möglichkeit, API-Schlüssel, Passwörter, Zertifikate und andere sensible Daten zu speichern. Sie können einen Workflows-Connector verwenden, um innerhalb eines Workflows auf Secret Manager zuzugreifen. Das vereinfacht die Integration für Sie, da der Connector die Formatierung von Anfragen übernimmt und Methoden und Argumente bereitstellt, sodass Sie die Details der Secret Manager API nicht kennen müssen. Weitere Informationen finden Sie unter Sensible Daten mit dem Secret Manager-Connector schützen und speichern.
Einbindung in Cloud Logging, Cloud Monitoring und Cloud-Audit-Logs
Logs sind eine Hauptquelle für Diagnoseinformationen zum Zustand Ihrer Workflows. Mit Logging können Sie Logdaten und Ereignisse speichern, ansehen, suchen, analysieren und Benachrichtigungen dazu erhalten.
Workflows ist in Logging eingebunden und generiert automatisch Ausführungslogs für Workflowausführungen. Aufgrund des Streaming-Charakters von Logging können Sie alle Logs, die von einem Workflow ausgegeben werden, sofort aufrufen. Außerdem können Sie mit Logging Logs aus allen Ihren Workflows zentralisieren. Sie können auch steuern, wann Logs während der Ausführung eines Workflows über das Aufruf-Logging oder benutzerdefinierte Logs an Logging gesendet werden. Weitere Informationen finden Sie unter Logs an Cloud Logging senden.
Neben der Auswertung von Logs müssen Sie normalerweise weitere Aspekte Ihrer Dienste beobachten, um einen zuverlässigen Betrieb zu gewährleisten. Mit Monitoring erhalten Sie Einblick in die Leistung, die Verfügbarkeit und den Gesamtzustand Ihrer Workflows.
Wenn Sie Details zu Interaktionen mit Ihren Google Cloud-Ressourcen erfassen und verwalten möchten, können Sie Cloud-Audit-Logs verwenden, um Aktivitäten wie den Datenzugriff zu erfassen. Mit IAM-Steuerelementen können Sie einschränken, wer Audit-Logs aufrufen kann. Weitere Informationen finden Sie unter Audit-Logging für Workflows und Audit-Logging für Workflow-Ausführungen.
Einhaltung von Standards
Informationen zur Compliance von Workflows mit verschiedenen Standards finden Sie unter Compliance-Kontrollen.