Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על אבטחת תהליכי עבודה

מכיוון שתהליך העבודה לא מכיל קוד או תלות בספרייה, הוא לא דורש תיקוני אבטחה. אחרי שמפעילים תהליך עבודה, אפשר לצפות שהוא יפעל בצורה מהימנה בלי צורך בתחזוקה. בנוסף, Workflows מציע כמה תכונות אבטחה ומיישם אמצעי תאימות ספציפיים כדי לעמוד בדרישות האבטחה של הארגון.

הצפנת נתונים

כברירת מחדל, Google Cloud משתמשת בכמה שכבות הצפנה כדי להגן על נתוני המשתמשים שמאוחסנים במרכזי הנתונים שבתשתיות הייצור של Google. הצפנת ברירת המחדל מתרחשת בשכבת התשתית של האפליקציה או האחסון. תעבורת הנתונים בין המכשירים שלכם לבין ממשק הקצה של Google‏ (GFE) מוצפנת באמצעות פרוטוקולי הצפנה חזקים, כמו Transport Layer Security‏ (TLS). הנתונים בשימוש מוגנים, והסודיות של עומסי העבודה בסביבת ענן מרובת דיירים (multi-tenant) נשמרת על ידי ביצוע מחשוב בבידוד קריפטוגרפי. למידע נוסף על אמצעי הבקרה העיקריים לאבטחה ש- Google Cloud משתמשת בהם כדי להגן על הנתונים שלכם, אפשר לעיין בסקירה כללית על אבטחה ב-Google.

ניהול זהויות והרשאות גישה

מכיוון שכל הפעלה של תהליך עבודה דורשת קריאה מאומתת, אפשר להשתמש ב-Workflows כדי לצמצם את הסיכון לקריאות מקריות או זדוניות. ב-Workflows, הגישה והאימות מנוהלים באמצעות תפקידים והרשאות של ניהול זהויות והרשאות גישה (IAM). כדי לפשט את האינטראקציות עם ממשקי API אחרים, אפשר להשתמש בחשבונות שירות שמבוססים על IAM. Google Cloud פרטים נוספים זמינים במאמרים איך מעניקים הרשאה לגישה למשאבים בתהליך עבודה Google Cloud ו איך שולחים בקשות מאומתות מתהליך עבודה.

אפשר להשתמש ב-Workflows כדי להפעיל נקודת קצה שהופעל עבורה שרת proxy לאימות זהויות (IAP). ‫IAP מאמת את הזהות ואוכף את ההרשאה ברמת האפליקציה, כך שאתם יכולים להשתמש במודל של בקרת גישה ברמת האפליקציה במקום להסתמך על חומות אש ברמת הרשת. כשאפליקציה או משאב מוגנים על ידי IAP, רק לחשבונות משתמשים עם התפקיד הנכון בניהול זהויות והרשאות גישה (IAM) יש גישה אליהם דרך ה-proxy. מידע נוסף זמין במאמר בנושא הפעלת נקודת קצה (endpoint) שמאובטחת באמצעות IAP.

תעבורת נתונים נכנסת (ingress) מוגבלת ברשת

תהליכי עבודה יכולים גם להפעיל פונקציות Cloud Run או שירותי Cloud Run באותו פרויקט שבהם תעבורת הנתונים הנכנסת מוגבלת לתעבורה פנימית. Google Cloud בהגדרה הזו, אי אפשר להגיע לשירותים שלכם מהאינטרנט, אבל אפשר להגיע אליהם מ-Workflows. כדי להחיל את ההגבלות האלה, צריך לשנות את הגדרות הכניסה של השירות או הפונקציה. שימו לב שאפשר להגיע לשירות Cloud Run בכתובת ה-URL שלו ולא בדומיין מותאם אישית.run.app מידע נוסף זמין במאמרים הגבלת תעבורת נכנסת ברשת (ל-Cloud Run) והגדרת הגדרות רשת (לפונקציות Cloud Run). לא צריך לבצע שינויים נוספים בתהליך העבודה.

מפתחות הצפנה בניהול הלקוח (CMEK)

אם יש לכם דרישות ספציפיות בנושא תאימות או רגולציה שקשורות למפתחות שמגנים על הנתונים, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח. תהליך העבודה והנתונים המשויכים במנוחה מוגנים באמצעות מפתח הצפנה שרק לכם יש גישה אליו, ושאתם יכולים לשלוט בו ולנהל אותו באמצעות Cloud Key Management Service‏ (Cloud KMS). מידע נוסף מופיע במאמר בנושא שימוש במפתחות הצפנה בניהול הלקוח.

תמיכה ב-VPC Service Controls‏ (VPC SC)

VPC Service Controls הוא מנגנון לצמצום הסיכונים לזליגת נתונים. אתם יכולים להשתמש ב-VPC Service Controls עם Workflows כדי להגן על השירותים שלכם. מידע נוסף זמין במאמר בנושא הגדרת גבולות גזרה לשירות באמצעות VPC Service Controls.

‫Secret Manager לאחסון ולאבטחה של מידע רגיש

‫Secret Manager היא מערכת אחסון מאובטחת ונוחה למפתחות API, סיסמאות, אישורים ונתונים רגישים אחרים. אתם יכולים להשתמש במחבר Workflows כדי לגשת ל-Secret Manager מתוך תהליך עבודה. השילוב פשוט יותר כי המחבר מטפל בעיצוב הבקשות ומספק שיטות וארגומנטים, כך שלא צריך לדעת את הפרטים של Secret Manager API. מידע נוסף זמין במאמר אחסון מאובטח של נתונים רגישים באמצעות המחבר Secret Manager.

שילוב עם Cloud Logging,‏ Cloud Monitoring ויומני ביקורת בענן

יומנים הם מקור עיקרי של מידע המאבחן את תקינות תהליכי העבודה שלכם. בעזרת Logging תוכלו לאחסן, להציג, לחפש, לנתח ולקבל התראות לגבי נתונים ואירועים ביומן.

‫Workflows משולב עם Logging ויוצר אוטומטית יומני ביצוע לביצועים של תהליכי עבודה. בגלל האופי של הזרמת הנתונים ב-Logging, אתם יכולים לראות מייד את היומנים שנוצרים מכל תהליכי העבודה, ולהשתמש ב-Logging כדי לרכז את היומנים מכל תהליכי העבודה. אפשר גם לשלוט מתי היומנים נשלחים ל-Logging במהלך הפעלת תהליך עבודה באמצעות יומני שיחות או יומנים בהתאמה אישית. פרטים נוספים זמינים במאמר בנושא שליחת יומנים ל-Logging.

בנוסף לשימוש ביומנים, בדרך כלל תצטרכו לעקוב אחרי היבטים אחרים של השירותים שלכם כדי להבטיח פעילות מהימנה. בעזרת Monitoring תוכלו לראות את נתוני הביצועים, זמן הפעולה התקינה ומצב התקינות הכללית של תהליכי העבודה שלכם.

כדי לעקוב אחרי האינטראקציות עם המשאבים שלכם ב- Google Cloud ולשמור את הפרטים שלהן, אתם יכולים להשתמש ב-Cloud Audit Logs כדי לתעד פעילות כמו גישה לנתונים. תוכלו להשתמש באמצעי בקרה של IAM כדי להגביל את המשתמשים שיכולים לצפות ביומני ביקורת. מידע נוסף זמין במאמרים בנושא יומני ביקורת של תהליכי עבודה והרצות של תהליכי עבודה.

עמידה בסטנדרטים

כדי לוודא שהתאימות של Workflows עומדת בתקנים שונים, אפשר לעיין באמצעי בקרה לתאימות.

המאמרים הבאים

שיטות מומלצות לאבטחה

סקירה כללית על אבטחת תהליכי עבודה קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.