Uma vez que um fluxo de trabalho não contém dependências de código nem de biblioteca, não requer patches de segurança. Depois de implementar um fluxo de trabalho, pode esperar que seja executado de forma fiável sem manutenção. Além disso, o Workflows oferece várias funcionalidades de segurança e toma medidas de conformidade específicas para satisfazer os requisitos de segurança empresariais.
Encriptação de dados
Por predefinição, Google Cloud usa várias camadas de encriptação para proteger os dados do utilizador armazenados nos centros de dados de produção da Google. Esta encriptação predefinida ocorre na camada de infraestrutura de armazenamento ou de aplicação. O tráfego entre os seus dispositivos e o Google Front End (GFE) é encriptado através de protocolos de encriptação fortes, como o Transport Layer Security (TLS). Os seus dados em utilização são protegidos e a confidencialidade das cargas de trabalho num ambiente de nuvem multi-inquilino é mantida através da computação em isolamento criptográfico. Para mais informações sobre os principais controlos de segurança que o Google Cloud utiliza para ajudar a proteger os seus dados, consulte a vista geral da segurança da Google.
Gestão de identidade e de acesso
Uma vez que cada execução do fluxo de trabalho requer uma chamada autenticada, pode mitigar o risco de chamadas acidentais ou maliciosas através dos fluxos de trabalho. Os fluxos de trabalho gerem o acesso e a autenticação através de funções e autorizações da gestão de identidade e de acesso (IAM). Pode simplificar as interações com outras Google Cloud APIs através de contas de serviço baseadas no IAM. Para ver detalhes, consulte os artigos Conceda uma autorização de fluxo de trabalho para aceder a Google Cloud recursos e Faça pedidos autenticados a partir de um fluxo de trabalho.
Pode usar fluxos de trabalho para invocar um ponto final para o qual o Identity-Aware Proxy (IAP) foi ativado. O IAP valida a identidade e aplica a autorização ao nível da aplicação, para que possa usar um modelo de controlo de acesso ao nível da aplicação em vez de depender de firewalls ao nível da rede. Quando uma aplicação ou um recurso está protegido pela IAP, só pode ser acedido através do proxy por responsáveis que tenham a função de gestão de identidade e de acesso (IAM) correta. Para mais informações, consulte o artigo Invocar um ponto final protegido pelo IAP.
Entrada de rede restrita
Os fluxos de trabalho também podem invocar funções do Cloud Run
ou serviços do Cloud Run no mesmo Google Cloud projeto
que tenham a entrada restrita ao tráfego interno. Com esta configuração, os seus serviços ficam inacessíveis a partir da Internet, mas podem ser acedidos a partir do Workflows.
Para aplicar estas restrições, tem de ajustar as definições de entrada do seu serviço ou função. Tenha em atenção que o serviço Cloud Run tem de ser
acessível no respetivo URL run.appe não num domínio personalizado. Para mais informações,
consulte Restrinja a entrada na rede (para o Cloud Run)
e Configure as definições de rede
(para as funções do Cloud Run). Não são necessárias outras alterações ao seu fluxo de trabalho.
Chaves de encriptação geridas pelo cliente (CMEK)
Se tiver requisitos regulamentares ou de conformidade específicos relacionados com as chaves que protegem os seus dados, pode usar chaves de encriptação geridas pelo cliente. O seu fluxo de trabalho e os dados em repouso associados estão protegidos através de uma chave de encriptação à qual só pode aceder e que pode controlar e gerir através do Cloud Key Management Service (Cloud KMS). Para mais informações, consulte o artigo Use chaves de encriptação geridas pelo cliente.
Suporte dos VPC Service Controls (VPC SC)
Os VPC Service Controls são um mecanismo para mitigar os riscos de exfiltração de dados. Pode usar os VPC Service Controls com os Workflows para ajudar a proteger os seus serviços. Para mais informações, consulte o artigo Configure um perímetro de serviço com o VPC Service Controls.
Secret Manager para armazenar e proteger dados confidenciais
O Secret Manager é um sistema de armazenamento seguro e conveniente para chaves de API, palavras-passe, certificados e outros dados confidenciais. Pode usar um conector do Workflows para aceder ao Secret Manager num fluxo de trabalho. Isto simplifica a integração para si, porque o conector processa a formatação dos pedidos e fornece métodos e argumentos para que não precise de saber os detalhes da API Secret Manager. Para mais informações, consulte o artigo Proteja e armazene dados confidenciais através do conetor do Secret Manager.
Integração com o Cloud Logging, o Cloud Monitoring e os registos de auditoria do Cloud
Os registos são uma fonte principal de informações de diagnóstico sobre o estado dos seus fluxos de trabalho. O Logging permite-lhe armazenar, ver, pesquisar, analisar e alertar sobre dados de registos e eventos.
O Workflows está integrado com o Logging e gera automaticamente registos de execução para execuções de fluxos de trabalho. Devido à natureza de streaming do Logging, pode ver imediatamente os registos que qualquer fluxo de trabalho emite e pode usar o Logging para centralizar os registos de todos os seus fluxos de trabalho. Também pode controlar quando os registos são enviados para o registo durante a execução de um fluxo de trabalho através do registo de chamadas ou de registos personalizados. Para ver detalhes, consulte o artigo Envie registos para o Logging.
Além de consumir registos, normalmente, tem de monitorizar outros aspetos dos seus serviços para garantir um funcionamento fiável. Use a Monitorização para ter visibilidade do desempenho, do tempo de atividade e do estado geral dos seus fluxos de trabalho.
Para acompanhar e manter os detalhes das interações com os seus Google Cloud recursos, pode usar os registos de auditoria do Cloud para ajudar a captar atividade, como o acesso aos dados. Use controlos da IAM para limitar quem pode ver os registos de auditoria. Para mais informações, consulte as informações de registo de auditoria para fluxos de trabalho e execuções de fluxos de trabalho.
Conformidade com as normas
Para confirmar a conformidade dos fluxos de trabalho com várias normas, consulte os Controlos de conformidade.