由於工作流程不含程式碼或程式庫依附元件,因此不需要安全性修補程式。部署工作流程後,工作流程就能穩定執行,不需維護。此外,為滿足企業安全需求,Workflows 提供多項安全功能,並採取特定法規遵循措施。
資料加密
根據預設, Google Cloud 會使用多層加密機制,保護儲存在 Google 正規作業資料中心的使用者資料。這項預設加密作業會在應用程式或儲存空間基礎架構層進行。裝置與 Google Front End (GFE) 之間的流量會使用傳輸層安全標準 (TLS) 等強效加密通訊協定加密。在加密隔離環境中執行運算,可保護使用中的資料,並維護多租戶雲端環境中工作負載的機密性。如要進一步瞭解 Google 用來保護資料的主要安全控制項,請參閱 Google 安全性總覽。 Google Cloud
身分與存取權管理
由於每次執行工作流程都需要經過驗證的呼叫,因此使用 Workflows 可降低意外或惡意呼叫的風險。工作流程會使用 Identity and Access Management (IAM) 角色和權限管理存取權和驗證。使用以 IAM 為基礎的服務帳戶,簡化與其他 Google Cloud API 的互動。詳情請參閱「授予工作流程權限,以便存取 Google Cloud 資源」和「從工作流程提出經過驗證的要求」。
您可以透過 Workflows 叫用已啟用 Identity-Aware Proxy (IAP) 的端點。IAP 會在應用程式層級驗證身分並強制執行授權,因此您可以使用應用程式層級的存取權控管模型,而非依賴網路層級的防火牆。當應用程式或資源受到 IAP 保護時,只有具備正確 Identity and Access Management (IAM) 角色的主體,才能透過 Proxy 存取。詳情請參閱「叫用受 IAP 保護的端點」。
限制網路輸入
工作流程也可以在同一個 Google Cloud 專案中叫用 Cloud Run 函式或 Cloud Run 服務,但這些函式或服務的連入流量僅限內部流量。採用這項設定後,服務就無法從網際網路存取,但可從 Workflows 存取。如要套用這些限制,請調整服務或函式的進入設定。請注意,Cloud Run 服務必須透過 run.app URL 存取,而非自訂網域。詳情請參閱限制網路輸入 (適用於 Cloud Run) 和設定網路設定 (適用於 Cloud Run functions)。工作流程不需要其他變更。
由客戶管理的加密金鑰 (CMEK)
如果您在保護資料的金鑰方面有特定的法規遵循或監管要求,可以使用客戶自行管理的加密金鑰。您的工作流程和相關靜態資料會受到加密金鑰保護,只有您能存取,且您可以使用 Cloud Key Management Service (Cloud KMS) 控制及管理。詳情請參閱「使用客戶管理的加密金鑰」。
支援 VPC Service Controls (VPC SC)
VPC Service Controls 是一種機制,可降低資料竊取風險。您可以將 VPC Service Controls 與 Workflows 搭配使用,保護服務安全。詳情請參閱「使用 VPC Service Controls 設定 service perimeter」。
使用 Secret Manager 儲存及保護機密資料
Secret Manager 是安全又便利的儲存系統,可以儲存 API 金鑰、密碼、憑證和其他機密資料。您可以使用 Workflows 連接器,在工作流程中存取 Secret Manager。這可簡化整合作業,因為連接器會處理要求的格式化作業,並提供方法和引數,因此您不必瞭解 Secret Manager API 的詳細資料。詳情請參閱「使用 Secret Manager 連接器安全儲存機密資料」。
與 Cloud Logging、Cloud Monitoring 和 Cloud 稽核記錄整合
記錄是工作流程健康狀態診斷資訊的主要來源。Logging 可讓您儲存、查看、搜尋、分析記錄資料與事件,並發出相關快訊。
工作流程與 Logging 整合,可自動產生工作流程執行的執行記錄。Logging 具有串流特性,因此您可以立即查看任何工作流程發出的記錄,並使用 Logging 集中管理所有工作流程的記錄。您也可以透過呼叫記錄或自訂記錄,在工作流程執行期間控制記錄傳送至 Logging 的時間。詳情請參閱將記錄傳送至 Logging。
除了使用記錄外,通常您還需要監控服務的其他層面,以利保持穩定運作。使用 Monitoring 掌握工作流程的效能、運作時間和整體健康狀態。
如要追蹤及維護與 Google Cloud資源互動的詳細資料,可以使用 Cloud 稽核記錄擷取資料存取等活動。使用 IAM 控制項限制有權查看稽核記錄的人。詳情請參閱工作流程和工作流程執行作業的稽核記錄資訊。
符合標準
如要確認工作流程是否符合各項標準,請參閱「法規遵循控制項」。