Workflows のセキュリティの概要

ワークフローにコードやライブラリの依存関係がないため、セキュリティ パッチは必要ありません。ワークフローをデプロイすると、メンテナンスなしで信頼性の高い実行が期待できます。また、Workflows には複数のセキュリティ機能が用意されており、企業のセキュリティ要件を満たすために特定のコンプライアンス対策が講じられています。

データ暗号化

デフォルトでは、 Google Cloud は複数の暗号化レイヤを使用して、Google の本番環境データセンターに保存されているユーザーデータを保護します。このデフォルトの暗号化は、アプリケーション レイヤまたはストレージ インフラストラクチャ レイヤで行われます。デバイスと Google Front End(GFE)間のトラフィックは、Transport Layer Security(TLS)などの強力な暗号化プロトコルを使用して暗号化されます。暗号分離で計算を行うことで、使用中のデータを保護し、マルチテナント クラウド環境でのワークロードの機密性を維持します。 Google Cloud がデータの保護に使用している主なセキュリティ管理について詳しくは、Google セキュリティの概要をご覧ください。

ID とアクセスの管理

すべてのワークフローの実行で認証された呼び出しが必要になるため、Workflows を使用して、誤った呼び出しや悪意のある呼び出しのリスクを軽減できます。 ワークフローは、Identity and Access Management(IAM)のロールと権限を使用してアクセスと認証を管理します。IAM ベースのサービス アカウントを使用すると、他の API との連携を簡素化できます。 Google Cloud 詳細については、リソースにアクセスする権限をワークフローに付与する Google Cloud ワークフローから認証済みリクエストを行うをご覧ください。

プライベート エンドポイント

Workflows は、HTTP リクエストを介してプライベート オンプレミス、Compute Engine、Google Kubernetes Engine(GKE)、その他のエンドポイントを呼び出すことができます。 Google Cloud Workflows がエンドポイントを呼び出せるように、プライベート エンドポイントの Identity-Aware Proxy(IAP)を有効にする必要があります。詳細については、プライベート オンプレミス、Compute Engine、GKE、その他のエンドポイントを呼び出すをご覧ください。

Workflows では、上り(内向き)が内部トラフィックに制限されている同じプロジェクト内の Cloud Run 関数や Cloud Run サービスを呼び出すこともできます。 Google Cloud この構成では、インターネットからサービスにアクセスできませんが、ワークフローからはサービスにアクセスできます。 これらの制限を適用するには、サービスまたは関数の上り(内向き)設定を調整する必要があります。Cloud Run サービスには、カスタム ドメインではなく、run.app URL でアクセスする必要があります。詳細については、上り(内向き)の制限(Cloud Run の場合)とネットワーク設定の構成(Cloud Run 関数の場合)をご覧ください。ワークフローに対するその他の変更は必要ありません。

顧客管理の暗号鍵(CMEK)

データを保護する鍵について特定のコンプライアンスや規制の要件がある場合は、Workflows に顧客管理の暗号鍵(CMEK)を使用できます。ワークフローと関連する保存データは、本人だけがアクセスでき、Cloud Key Management Service(Cloud KMS)で制御と管理ができる暗号鍵を使用して保護されます。 詳細については、顧客管理の暗号鍵をご覧ください。

VPC Service Controls(VPC SC)のサポート

VPC Service Controls は、データの引き出しのリスクを軽減する仕組みです。Workflows で VPC Service Controls を使用すると、サービスを保護できます。詳細については、VPC Service Controls を使用してサービス境界を設定するをご覧ください。

センシティブ データを保存して保護する Secret Manager

Secret Manager は、API キー、パスワード、証明書、その他の機密データを保存するための安全で便利なストレージ システムです。Workflows コネクタを使用すると、ワークフロー内の Secret Manager にアクセスできます。これにより、統合が簡素化されます。これは、コネクタによってリクエストの形式設定が処理され、Secret Manager API の詳細を認識する必要がないようにメソッドと引数が提供されるためです。詳細については、Secret Manager コネクタを使用してセンシティブ データを保護して保存するをご覧ください。

Cloud Logging、Cloud Monitoring、Cloud Audit Logs との統合

ログは、Workflows の状態に関する診断情報の主なソースです。Logging を使用すると、ログデータとイベントの保存、表示、検索、分析、アラートを行うことができます。

Workflows は Logging と統合されており、ワークフローの実行の実行ログを自動的に生成します。Logging のストリーミングの性質上、Workflows によって出力されるログがすぐに出力され、Logging を使用してすべてのワークフローのログを一元化できます。また、コールロギングまたはカスタムログを使用して、ワークフローの実行中にログが Logging に送信されるタイミングを制御できます。詳細については、Logging にログを送信するをご覧ください。

安定したオペレーションを確実に行うには、ログを使用するだけでなく、サービスの他の側面もモニタリングする必要があります。Monitoring を使用すると、Workflows のパフォーマンス、稼働時間、全体的な動作状況を確認できます。

リソースとのやり取りの詳細を追跡および管理するには、Cloud Audit Logs を使用してデータアクセスなどのアクティビティをキャプチャします。 Google CloudIAM コントロールを使用して、監査ログを表示できるユーザーを制限します。詳細については、ワークフローワークフローの実行の監査ロギング情報をご覧ください。

基準の遵守

Workflows がさまざまな標準に準拠していることを確認するには、コンプライアンス管理をご覧ください。

次のステップ