Étant donné qu'un workflow ne contient aucune dépendance de code ni de bibliothèque, il ne nécessite pas de correctifs de sécurité. Une fois que vous avez déployé un workflow, vous pouvez vous assurer qu'il s'exécutera de manière fiable sans maintenance. De plus, Workflows offre plusieurs fonctionnalités de sécurité et prend des mesures de conformité spécifiques pour répondre aux exigences de sécurité des entreprises.
Chiffrement des données
Par défaut, Google Cloud utilise plusieurs couches de chiffrement pour protéger les données utilisateur stockées dans les centres de données de production de Google. Ce chiffrement par défaut s'effectue au niveau de la couche d'infrastructure de l'application ou du stockage. Le trafic entre vos appareils et le Google Front End (GFE) est chiffré à l'aide de protocoles de chiffrement renforcés tels que Transport Layer Security (TLS). Vos données en cours d'utilisation sont protégées, et la confidentialité des charges de travail dans un environnement cloud mutualisé est maintenue, en effectuant des calculs dans un environnement isolé de manière cryptographique. Pour en savoir plus sur les principaux contrôles de sécurité utilisés par Google Cloud pour protéger vos données, consultez la Présentation de la sécurité Google.
Gestion de l'authentification et des accès
Étant donné que chaque exécution de workflow nécessite un appel authentifié, vous pouvez réduire le risque d'appels accidentels ou malveillants à l'aide de Workflows. Workflows gère l'accès et l'authentification à l'aide des rôles et autorisations Identity and Access Management (IAM). Vous pouvez simplifier les interactions avec d'autres API Google Cloud à l'aide de comptes de service IAM. Pour en savoir plus, consultez Autoriser un workflow à accéder aux ressources Google Cloud et Effectuer des requêtes authentifiées à partir d'un workflow.
Vous pouvez utiliser Workflows pour appeler un point de terminaison pour lequel Identity-Aware Proxy (IAP) a été activé. IAP valide l'identité et applique l'autorisation au niveau de l'application. Vous pouvez donc utiliser un modèle de contrôle des accès au niveau de l'application au lieu de vous servir de pare-feu au niveau du réseau. Lorsqu'une application ou une ressource est protégée par IAP, seuls les comptes principaux disposant du rôle IAM (Identity and Access Management) approprié peuvent y accéder via le proxy. Pour en savoir plus, consultez Appeler un point de terminaison sécurisé par IAP.
Entrée réseau restreinte
Les workflows peuvent également appeler des fonctions Cloud Run ou des services Cloud Run dans le même projet Google Cloud dont l'entrée est limitée au trafic interne. Avec cette configuration, vos services sont inaccessibles depuis Internet, mais peuvent être accessibles à partir de Workflows.
Pour appliquer ces restrictions, vous devez ajuster les paramètres d'entrée de votre service ou fonction. Notez que le service Cloud Run doit être accessible sur son URL run.app et non sur un domaine personnalisé. Pour en savoir plus, consultez Restreindre le trafic réseau entrant (pour Cloud Run) et Configurer les paramètres réseau (pour les fonctions Cloud Run). Aucune autre modification n'est nécessaire dans votre workflow.
Clés de chiffrement gérées par le client (CMEK)
Si vous avez des exigences réglementaires ou de conformité spécifiques concernant les clés qui protègent vos données, vous pouvez utiliser des clés de chiffrement gérées par le client. Votre workflow et les données au repos associées sont protégés à l'aide d'une clé de chiffrement à laquelle vous seul pouvez accéder, et que vous pouvez contrôler et gérer à l'aide de Cloud Key Management Service (Cloud KMS). Pour en savoir plus, consultez Utiliser des clés de chiffrement gérées par le client.
Compatibilité avec VPC Service Controls (VPC SC)
VPC Service Controls est un mécanisme permettant de limiter les risques d'exfiltration de données. Vous pouvez utiliser VPC Service Controls avec Workflows pour protéger vos services. Pour en savoir plus, consultez Configurer un périmètre de service à l'aide de VPC Service Controls.
Secret Manager pour stocker et sécuriser les données sensibles
Secret Manager est un système de stockage sécurisé et pratique pour les clés API, les mots de passe, les certificats et autres données sensibles. Vous pouvez utiliser un connecteur Workflows pour accéder à Secret Manager dans un workflow. Cela simplifie l'intégration pour vous, car le connecteur gère la mise en forme des requêtes et fournit des méthodes et des arguments pour que vous n'ayez pas besoin de connaître les détails de l'API Secret Manager. Pour en savoir plus, consultez Sécuriser et stocker des données sensibles à l'aide du connecteur Secret Manager.
Intégration à Cloud Logging, Cloud Monitoring et Cloud Audit Logs
Les journaux constituent une source principale d'informations de diagnostic sur l'état de vos workflows. Logging vous permet de stocker, d'afficher, de rechercher, d'analyser les données et les événements des journaux, et d'envoyer des alertes le cas échéant.
Workflows est intégré à Logging et génère automatiquement des journaux d'exécution pour les exécutions de workflows. Comme Logging fonctionne en flux continu, vous pouvez afficher immédiatement les journaux émis par n'importe quel workflow. Vous pouvez également utiliser Logging pour centraliser les journaux de tous vos workflows. Vous pouvez également contrôler le moment où les journaux sont envoyés à Logging lors de l'exécution d'un workflow via la journalisation des appels ou des journaux personnalisés. Pour en savoir plus, consultez Envoyer des journaux à Logging.
Outre la consommation de journaux, vous devez généralement surveiller d'autres aspects de vos services pour garantir un fonctionnement fiable. Utilisez Monitoring pour obtenir une visibilité sur les performances, la disponibilité et l'état général de vos workflows.
Pour suivre et conserver les détails des interactions avec vos ressources Google Cloud, vous pouvez utiliser Cloud Audit Logs pour capturer l'activité, comme l'accès aux données. Utilisez les contrôles IAM pour limiter les accès aux journaux d'audit. Pour en savoir plus, consultez les informations sur les journaux d'audit pour les workflows et les exécutions de workflow.
Conformité aux normes
Pour confirmer la conformité de Workflows avec différentes normes, consultez Contrôles de conformité.