Poiché un flusso di lavoro non contiene dipendenze di codice o librerie, non richiede patch di sicurezza. Una volta implementato un workflow, puoi aspettarti che venga eseguito in modo affidabile senza manutenzione. Inoltre, Workflows offre diverse funzionalità di sicurezza e adotta misure di conformità specifiche per soddisfare i requisiti di sicurezza aziendale.
Crittografia dei dati
Per impostazione predefinita, Google Cloud utilizza diversi livelli di crittografia per proteggere i dati degli utenti archiviati nei data center di produzione di Google. Questa crittografia predefinita avviene a livello di applicazione o infrastruttura di archiviazione. Il traffico tra i tuoi dispositivi e Google Front End (GFE) viene criptato utilizzando protocolli di crittografia efficaci come Transport Layer Security (TLS). I tuoi dati in uso sono protetti e la riservatezza dei carichi di lavoro in un ambiente cloud multi-tenant viene mantenuta eseguendo i calcoli in isolamento crittografico. Per ulteriori informazioni sui principali controlli di sicurezza che Google Cloud utilizza per proteggere i tuoi dati, consulta Panoramica sulla sicurezza di Google.
Gestione di identità e accessi
Poiché ogni esecuzione del flusso di lavoro richiede una chiamata autenticata, puoi ridurre il rischio di chiamate accidentali o dannose utilizzando Workflows. Workflows gestisce l'accesso e l'autenticazione utilizzando ruoli e autorizzazioni IAM (Identity and Access Management). Puoi semplificare le interazioni con altre API Google Cloud utilizzando service account basati su IAM. Per maggiori dettagli, vedi Concedi l'autorizzazione dei workflow per l'accesso alle Google Cloud risorse e Eseguire richieste autenticate da un flusso di lavoro.
Puoi utilizzare Workflows per richiamare un endpoint per il quale è stato abilitato Identity-Aware Proxy (IAP). IAP verifica l'identità e applica l'autorizzazione a livello di applicazione, in modo da poter utilizzare un modello dcontrollo dell'accessolo dell'accesso a livello di applicazione anziché fare affidamento su firewall a livello di rete. Quando un'applicazione o una risorsa è protetta da IAP, può essere accessibile solo tramite il proxy dalle entità che dispongono del ruolo Identity and Access Management (IAM) corretto. Per saperne di più, consulta Richiamare un endpoint protetto da IAP.
Traffico in entrata nella rete limitato
Workflows possono anche richiamare funzioni Cloud Run o servizi Cloud Run nello stesso progetto Google Cloud con l'accesso limitato al traffico interno. Con questa configurazione, i tuoi
servizi non sono raggiungibili da internet, ma possono essere raggiunti da Workflows.
Per applicare queste limitazioni, devi modificare le impostazioni di ingresso del tuo servizio o della tua funzione. Tieni presente che il servizio Cloud Run deve essere raggiunto sul relativo URL run.app e non su un dominio personalizzato. Per saperne di più,
consulta Limitare il traffico di rete in entrata (per Cloud Run)
e Configurazione delle impostazioni di rete
(per Cloud Run Functions). Non sono necessarie altre modifiche al tuo flusso di lavoro.
Chiavi di crittografia gestite dal cliente (CMEK)
Se hai requisiti normativi o di conformità specifici relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente. Il tuo workflow e i dati inattivi associati sono protetti utilizzando una chiave di crittografia a cui solo tu puoi accedere e che puoi controllare e gestire utilizzando Cloud Key Management Service (Cloud KMS). Per saperne di più, vedi Utilizzare le chiavi di crittografia gestite dal cliente.
Supporto dei Controlli di servizio VPC
I Controlli di servizio VPC sono un meccanismo per mitigare i rischi di esfiltrazione di dati. Puoi utilizzare i Controlli di servizio VPC con Workflows per proteggere i tuoi servizi. Per saperne di più, consulta Configurare un perimetro di servizio utilizzando i Controlli di servizio VPC.
Secret Manager per archiviare e proteggere i dati sensibili
Secret Manager è un sistema di archiviazione pratico e sicuro per chiavi API, password, certificati e altri dati sensibili. Puoi utilizzare un connettore Workflows per accedere a Secret Manager all'interno di un workflow. Ciò semplifica l'integrazione, perché il connettore gestisce la formattazione delle richieste e fornisce metodi e argomenti in modo che tu non debba conoscere i dettagli dell'API Secret Manager. Per saperne di più, consulta Proteggere e archiviare dati sensibili utilizzando il connettore Secret Manager.
Integrazione con Cloud Logging, Cloud Monitoring e Cloud Audit Logs
I log sono una fonte primaria di informazioni diagnostiche sullo stato dei tuoi flussi di lavoro. Logging ti consente di archiviare, visualizzare, cercare, analizzare e creare avvisi su dati ed eventi dei log.
Workflows è integrato con Logging e genera automaticamente i log di esecuzione per le esecuzioni dei workflow. Grazie alla natura di streaming di Logging, puoi visualizzare immediatamente i log emessi da qualsiasi flusso di lavoro e puoi utilizzare Logging per centralizzare i log di tutti i tuoi flussi di lavoro. Puoi anche controllare quando i log vengono inviati a Logging durante l'esecuzione di un flusso di lavoro tramite la registrazione delle chiamate o i log personalizzati. Per maggiori dettagli, vedi Inviare log a Logging.
Oltre a utilizzare i log, in genere devi monitorare altri aspetti dei tuoi servizi per garantirne il funzionamento affidabile. Utilizza Monitoring per avere maggiore visibilità su prestazioni, uptime e integrità complessiva dei tuoi workflow.
Per monitorare e mantenere i dettagli delle interazioni con le tue risorse Google Cloud, puoi utilizzare Cloud Audit Logs per acquisire attività come l'accesso ai dati. Utilizza i controlli IAM per limitare chi può visualizzare gli audit log. Per saperne di più, consulta le informazioni sui log di controllo per i workflow e le esecuzioni dei workflow.
Conformità agli standard
Per verificare la conformità di Workflows a vari standard, consulta Controlli di conformità.