Debido a que un flujo de trabajo no contiene dependencias de código ni de biblioteca, no requiere parches de seguridad. Una vez que implementes un flujo de trabajo, puedes esperar que se ejecute de forma confiable sin necesidad de mantenimiento. Además, Workflows ofrece varias funciones de seguridad y toma medidas de cumplimiento específicas para satisfacer los requisitos de seguridad de la empresa.
Encriptación de datos
De forma predeterminada, Google Cloud usa varias capas de encriptación para proteger los datos del usuario que se almacenan en los centros de datos de producción de Google. Esta encriptación predeterminada ocurre en la capa de infraestructura de aplicación o almacenamiento. El tráfico entre tus dispositivos y Google Front End (GFE) se encripta con protocolos de encriptación potentes, como la seguridad de la capa de transporte (TLS). Tus datos en uso están protegidos, y se mantiene la confidencialidad de las cargas de trabajo en un entorno de nube multiusuario, ya que se realizan cálculos en aislamiento criptográfico. Para obtener más información sobre los principales controles de seguridad que Google Cloud utiliza para proteger tus datos, consulta la Descripción general de seguridad de Google.
Administración de identidades y accesos
Dado que cada ejecución de flujo de trabajo requiere una llamada autenticada, puedes mitigar el riesgo de llamadas accidentales o maliciosas con Workflows. Workflows administra el acceso y la autenticación con los roles y permisos de Identity and Access Management (IAM). Puedes simplificar las interacciones con otras APIs usando cuentas de servicio basadas en IAM. Google Cloud Para obtener más información, consulta Otorga permiso a un flujo de trabajo para acceder a los recursos de Google Cloud y Realiza solicitudes autenticadas desde un flujo de trabajo.
Puedes usar Workflows para invocar un extremo para el que se habilitó Identity-Aware Proxy (IAP). IAP verifica la identidad y aplica la autorización a nivel de la aplicación, por lo que puedes usar un modelo de control de acceso a nivel de la aplicación en lugar de firewalls a nivel de red. Cuando una aplicación o un recurso están protegidos por IAP, solo las entidades principales que tengan el rol de Identity and Access Management (IAM) correcto podrán acceder a ellos a través del proxy. Para obtener más información, consulta Cómo invocar un extremo protegido por IAP.
Entrada de red restringida
Workflows también pueden invocar funciones o servicios de Cloud Run en el mismo Google Cloud proyecto
que tiene el tráfico de entrada restringido al tráfico interno. Con esta configuración, no se puede acceder a tus servicios desde Internet, pero sí desde Workflows.
Para aplicar estas restricciones, debes ajustar la configuración de entrada de tu servicio o función. Ten en cuenta que se debe acceder al servicio de Cloud Run en su URL run.app y no en un dominio personalizado. Para obtener más información, consulta Restringe el ingreso de red (para Cloud Run) y Configura los parámetros de configuración de red (para Cloud Run Functions). No es necesario que realices otros cambios en tu flujo de trabajo.
Claves de encriptación administradas por el cliente (CMEK)
Si tienes requisitos normativos o de cumplimiento específicos relacionados con las claves que protegen los datos, puedes usar claves de encriptación administradas por el cliente. Tu flujo de trabajo y los datos asociados en reposo están protegidos con una clave de encriptación a la que solo tú puedes acceder y que puedes controlar y administrar con Cloud Key Management Service (Cloud KMS). Para obtener más información, consulta Usa claves de encriptación administradas por el cliente.
Compatibilidad con los Controles del servicio de VPC (VPC SC)
Los Controles del servicio de VPC son un mecanismo para mitigar los riesgos de robo de datos. Puedes usar los Controles del servicio de VPC con Workflows para ayudar a proteger tus servicios. Para obtener más información, consulta Cómo configurar un perímetro de servicio con los Controles del servicio de VPC.
Secret Manager para almacenar y proteger datos sensibles
Secret Manager es un sistema de almacenamiento seguro y conveniente para guardar claves de API, contraseñas, certificados y otros datos sensibles. Puedes usar un conector de Workflows para acceder a Secret Manager dentro de un flujo de trabajo. Esto simplifica la integración, ya que el conector controla el formato de las solicitudes y proporciona métodos y argumentos para que no necesites conocer los detalles de la API de Secret Manager. Para obtener más información, consulta Cómo proteger y almacenar datos sensibles con el conector de Secret Manager.
Integración en Cloud Logging, Cloud Monitoring y los registros de auditoría de Cloud
Los registros son una fuente principal de información de diagnóstico sobre el estado de tus flujos de trabajo. Logging te permite almacenar, ver, buscar, analizar y generar alertas sobre eventos y datos de registro.
Workflows se integra en Logging y genera automáticamente registros de ejecución para las ejecuciones de flujos de trabajo. Debido a la naturaleza de transmisión de Logging, puedes ver los registros que emite cualquier flujo de trabajo de inmediato y puedes usar Logging para centralizar los registros de todos tus flujos de trabajo. También puedes controlar cuándo se envían los registros a Logging durante la ejecución de un flujo de trabajo a través del registro de llamadas o de registros personalizados. Para obtener más información, consulta Envía registros a Logging.
Además del consumo de registros, a menudo se deben supervisar otros aspectos de los servicios para garantizar un funcionamiento confiable. Usa Monitoring para obtener visibilidad del rendimiento, el tiempo de actividad y el estado general de tus flujos de trabajo.
Para hacer un seguimiento y mantener los detalles de las interacciones con tus recursos de Google Cloud, puedes usar los registros de auditoría de Cloud para captar la actividad, como el acceso a los datos. Usa los controles de IAM para limitar quién puede ver los registros de auditoría. Para obtener más información, consulta la información de los registros de auditoría de los flujos de trabajo y las ejecuciones de flujos de trabajo.
Cumplimiento de los estándares
Para confirmar el cumplimiento de Workflows con varios estándares, consulta Controles de cumplimiento.