Karena tidak berisi dependensi kode atau library, alur kerja tidak memerlukan patch keamanan. Setelah men-deploy alur kerja, Anda dapat mengharapkan alur kerja tersebut dieksekusi dengan andal tanpa perlu pemeliharaan. Selain itu, Workflows menawarkan beberapa fitur keamanan dan mengambil tindakan kepatuhan khusus untuk memenuhi persyaratan keamanan perusahaan.
Enkripsi data
Secara default, Google Cloud menggunakan beberapa lapisan enkripsi untuk melindungi data pengguna yang disimpan di pusat data produksi Google. Enkripsi default ini terjadi pada lapisan infrastruktur aplikasi atau penyimpanan. Traffic antara perangkat Anda dan Google Front End (GFE) dienkripsi menggunakan protokol enkripsi yang kuat seperti Transport Layer Security (TLS). Data Anda yang sedang digunakan dilindungi, dan kerahasiaan untuk workload di lingkungan cloud multi-tenant dipertahankan, dengan melakukan komputasi dalam isolasi kriptografis. Untuk mengetahui informasi selengkapnya tentang kontrol keamanan utama yang digunakan Google untuk membantu melindungi data Anda, lihat Ringkasan keamanan Google. Google Cloud
Pengelolaan akses dan identitas
Karena setiap eksekusi alur kerja memerlukan panggilan yang diautentikasi, Anda dapat mengurangi risiko panggilan yang tidak disengaja atau berbahaya dengan menggunakan Workflows. Workflows mengelola akses dan autentikasi menggunakan peran dan izin Identity and Access Management (IAM). Anda dapat menyederhanakan interaksi dengan API Google Cloud lain menggunakan akun layanan berbasis IAM. Untuk mengetahui detailnya, lihat Memberi alur kerja izin untuk mengakses Google Cloud resource dan Membuat permintaan yang diautentikasi dari alur kerja.
Anda dapat menggunakan Workflows untuk memanggil endpoint yang Identity-Aware Proxy (IAP) telah diaktifkan. IAP memverifikasi identitas dan menerapkan otorisasi di tingkat aplikasi, sehingga Anda dapat menggunakan model kontrol akses tingkat aplikasi, bukan mengandalkan firewall tingkat jaringan. Jika aplikasi atau resource dilindungi oleh IAP, aplikasi atau resource tersebut hanya dapat diakses melalui proxy oleh akun utama yang memiliki peran Identity and Access Management (IAM) yang benar. Untuk mengetahui informasi selengkapnya, lihat Memanggil endpoint yang diamankan IAP.
Traffic masuk jaringan terbatas
Alur kerja juga dapat memanggil fungsi Cloud Run
atau layanan Cloud Run dalam Google Cloud project
yang sama yang memiliki ingress yang dibatasi untuk traffic internal. Dengan konfigurasi ini, layanan Anda tidak dapat dijangkau dari internet, tetapi dapat dijangkau dari Workflows.
Untuk menerapkan batasan ini, Anda harus menyesuaikan setelan ingress layanan atau fungsi. Perhatikan bahwa layanan Cloud Run harus dapat dijangkau di URL run.app-nya, bukan di domain kustom. Untuk mengetahui informasi selengkapnya, lihat Membatasi traffic masuk jaringan (untuk Cloud Run) dan Mengonfigurasi setelan jaringan (untuk fungsi Cloud Run). Tidak ada perubahan lain yang diperlukan pada alur kerja Anda.
Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Jika Anda memiliki persyaratan kepatuhan atau peraturan khusus yang terkait dengan kunci yang melindungi data, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan. Alur kerja dan data dalam penyimpanan terkait dilindungi menggunakan kunci enkripsi yang hanya dapat Anda akses, dan yang dapat Anda kontrol dan kelola menggunakan Cloud Key Management Service (Cloud KMS). Untuk informasi selengkapnya, lihat Menggunakan kunci enkripsi yang dikelola pelanggan.
Dukungan Kontrol Layanan VPC (VPC SC)
Kontrol Layanan VPC adalah mekanisme untuk mengurangi risiko pemindahan data yang tidak sah. Anda dapat menggunakan Kontrol Layanan VPC dengan Workflows untuk membantu melindungi layanan Anda. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan perimeter layanan menggunakan Kontrol Layanan VPC.
Secret Manager untuk menyimpan dan mengamankan data sensitif
Secret Manager adalah sistem penyimpanan yang aman dan nyaman untuk kunci API, sandi, sertifikat, dan data sensitif lainnya. Anda dapat menggunakan konektor Workflows untuk mengakses Secret Manager dalam alur kerja. Hal ini menyederhanakan integrasi untuk Anda, karena konektor menangani pemformatan permintaan, serta menyediakan metode dan argumen sehingga Anda tidak perlu mengetahui detail Secret Manager API. Untuk mengetahui informasi selengkapnya, lihat Mengamankan dan menyimpan data sensitif menggunakan konektor Secret Manager.
Integrasi dengan Cloud Logging, Cloud Monitoring, dan Cloud Audit Logs
Log adalah sumber utama informasi diagnostik tentang kondisi alur kerja Anda. Logging memungkinkan Anda menyimpan, melihat, menelusuri, menganalisis, dan membuat pemberitahuan terkait data dan peristiwa log.
Workflows terintegrasi dengan Logging dan secara otomatis menghasilkan log eksekusi untuk eksekusi alur kerja. Karena sifat streaming Logging, Anda dapat melihat log yang dikeluarkan oleh alur kerja apa pun secara langsung, dan Anda dapat menggunakan Logging untuk memusatkan log dari semua alur kerja Anda. Anda juga dapat mengontrol kapan log dikirim ke Logging selama eksekusi alur kerja melalui logging panggilan atau log kustom. Untuk mengetahui detailnya, lihat Mengirim log ke Logging.
Selain menggunakan log, Anda biasanya perlu memantau aspek lain dari layanan Anda untuk memastikan pengoperasian yang andal. Gunakan Monitoring untuk mendapatkan visibilitas terkait performa, waktu beroperasi, dan kondisi keseluruhan alur kerja Anda.
Untuk melacak dan mempertahankan detail interaksi dengan resource Google Cloud Anda, Anda dapat menggunakan Cloud Audit Logs untuk membantu merekam aktivitas seperti akses data. Gunakan kontrol IAM untuk membatasi siapa yang dapat melihat log audit. Untuk mengetahui informasi selengkapnya, lihat informasi log audit untuk alur kerja dan eksekusi alur kerja.
Kepatuhan terhadap standar
Untuk mengonfirmasi kepatuhan Alur Kerja terhadap berbagai standar, lihat Kontrol kepatuhan.