ワークフローにはコードやライブラリの依存関係が含まれていないため、セキュリティ パッチは必要ありません。ワークフローをデプロイすると、メンテナンスなしで確実に実行されるようになります。また、Workflows にはいくつかのセキュリティ機能が用意されており、企業のセキュリティ要件を満たすための特定のコンプライアンス対策が講じられています。
データ暗号化
Google Cloud では、デフォルトで複数の暗号化レイヤを使用して、Google の本番環境データセンターに保存されているユーザーデータを保護します。このデフォルトの暗号化は、アプリケーション レイヤまたはストレージ インフラストラクチャ レイヤで行われます。デバイスと Google Front End(GFE)間のトラフィックは、Transport Layer Security(TLS)などの強力な暗号化プロトコルを使用して暗号化されます。暗号分離で計算を行うことで、使用中のデータが保護され、マルチテナント クラウド環境でのワークロードの機密性が維持されます。 Google Cloud がデータを保護するために使用する主なセキュリティ管理の詳細については、Google セキュリティの概要をご覧ください。
ID とアクセスの管理
すべてのワークフローの実行で認証された呼び出しが必要になるため、Workflows を使用して、誤った呼び出しや悪意のある呼び出しのリスクを軽減できます。 ワークフローは、Identity and Access Management(IAM)のロールと権限を使用してアクセスと認証を管理します。IAM ベースのサービス アカウントを使用すると、他の Google Cloud API との連携を簡素化できます。詳細については、 Google Cloud リソースにアクセスする権限をワークフローに付与するとワークフローから認証済みリクエストを行うをご覧ください。
Workflows を使用して、Identity-Aware Proxy(IAP)が有効になっているエンドポイントを呼び出すことができます。IAP は、アプリケーション レベルで ID を検証し、認可を適用するため、ネットワーク レベルのファイアウォールに依存せずにアプリケーション レベルのアクセス制御モデルを使用できます。IAP により保護されているアプリケーションまたはリソースには、適切な Identity and Access Management(IAM)ロールを持つプリンシパルのみがプロキシを介してアクセスできます。詳細については、IAP で保護されたエンドポイントを呼び出すをご覧ください。
制限付きネットワーク上り(内向き)
ワークフローでは、上り(内向き)が内部トラフィックに制限されている同じ Google Cloud プロジェクト内の Cloud Run 関数や Cloud Run サービスを呼び出すこともできます。この構成では、インターネットからサービスにアクセスできませんが、ワークフローからはサービスにアクセスできます。
これらの制限を適用するには、サービスまたは関数の上り(内向き)設定を調整する必要があります。Cloud Run サービスには、カスタム ドメインではなく、run.app URL でアクセスする必要があります。詳細については、ネットワーク上り(内向き)を制限する(Cloud Run の場合)とネットワーク設定の構成(Cloud Run functions の場合)をご覧ください。ワークフローに対するその他の変更は必要ありません。
顧客管理の暗号鍵(CMEK)
データを保護する鍵について特定のコンプライアンス要件や規制要件がある場合は、顧客管理の暗号鍵を使用できます。ワークフローと関連する保存データは、本人だけがアクセスでき、Cloud Key Management Service(Cloud KMS)で制御と管理ができる暗号鍵を使用して保護されます。詳細については、顧客管理の暗号鍵の使用をご覧ください。
VPC Service Controls(VPC SC)のサポート
VPC Service Controls は、データの引き出しのリスクを軽減する仕組みです。Workflows で VPC Service Controls を使用すると、サービスを保護できます。詳細については、VPC Service Controls を使用してサービス境界を設定するをご覧ください。
センシティブ データを保存して保護する Secret Manager
Secret Manager は、API キー、パスワード、証明書、その他の機密データを保存するための安全で便利なストレージ システムです。Workflows コネクタを使用すると、ワークフロー内の Secret Manager にアクセスできます。これにより、統合が簡素化されます。これは、コネクタによってリクエストの形式設定が処理され、Secret Manager API の詳細を認識する必要がないようにメソッドと引数が提供されるためです。詳細については、Secret Manager コネクタを使用してセンシティブ データを保護して保存するをご覧ください。
Cloud Logging、Cloud Monitoring、Cloud Audit Logs との統合
ログは、Workflows の状態に関する診断情報の主なソースです。Logging を使用すると、ログデータとイベントの保存、表示、検索、分析、アラートを行うことができます。
Workflows は Logging と統合されており、ワークフロー実行の実行ログを自動的に生成します。Logging のストリーミングの性質上、Workflows によって出力されるログがすぐに出力され、Logging を使用してすべてのワークフローのログを一元化できます。また、コールロギングまたはカスタムログを使用して、ワークフローの実行中にログが Logging に送信されるタイミングを制御できます。詳細については、Logging にログを送信するをご覧ください。
安定したオペレーションを確実に行うには、ログを使用するだけでなく、サービスの他の側面もモニタリングする必要があります。Monitoring を使用すると、Workflows のパフォーマンス、稼働時間、全体的な動作状況を確認できます。
Google Cloudリソースとのやり取りの詳細を追跡および管理するには、Cloud Audit Logs を使用してデータアクセスなどのアクティビティをキャプチャします。IAM コントロールを使用して、監査ログを表示できるユーザーを制限します。詳細については、ワークフローとワークフロー実行の監査ロギング情報をご覧ください。
基準の遵守
Workflows がさまざまな標準に準拠していることを確認するには、コンプライアンス管理をご覧ください。