Comme un workflow ne contient pas de code ni de dépendances de bibliothèque, il ne nécessite des correctifs de sécurité. Une fois que vous avez déployé un workflow, vous pouvez vous attendre à ce qu'il soit s'exécuter sans maintenance. De plus, Workflows propose plusieurs fonctionnalités de sécurité et prend des mesures de conformité spécifiques les exigences de sécurité de l'entreprise.
Chiffrement des données
Par défaut, Google Cloud utilise plusieurs couches de chiffrement pour protéger les données utilisateur stockées dans les centres de données de production de Google. Ce chiffrement par défaut se produit au niveau de la couche d'application ou d'infrastructure de stockage. Le trafic entre vos et le Google Front End (GFE) est chiffré à l'aide d'un tels que TLS (Transport Layer Security). Vos données utilisées sont protégées, et la confidentialité des charges de travail dans un environnement cloud mutualisé est gérés en effectuant des calculs dans une isolation cryptographique. Pour plus des informations sur les principaux contrôles de sécurité utilisés par Google Cloud pour pour protéger vos données, consultez Présentation de la sécurité Google
Gestion de l'authentification et des accès
Étant donné que chaque exécution de workflow nécessite un appel authentifié, vous pouvez réduire le risque d'appels accidentels ou malveillants à l'aide de Workflows. Workflows gère l'accès et l'authentification à l'aide de les rôles et autorisations IAM (Identity and Access Management). Vous pouvez simplifier avec d'autres API Google Cloud en utilisant Comptes de service basés sur IAM Pour en savoir plus, consultez Autoriser un workflow à accéder aux ressources Google Cloud et Effectuer des requêtes authentifiées à partir d'un workflow.
Points de terminaison privés
Les workflows peuvent appeler une instance privée sur site, Compute Engine, Google Kubernetes Engine (GKE) ou un autre point de terminaison Google Cloud via Requête HTTP. Vous devez activer Identity-Aware Proxy (IAP) pour le pour que Workflows puisse l'appeler. Pour plus pour en savoir plus, consultez Appelez un point de terminaison privé sur site, Compute Engine, GKE ou tout autre point de terminaison.
Les workflows peuvent aussi appeler des Cloud Functions
ou Cloud Run dans le même projet Google Cloud
dont le trafic d'entrée est limité au trafic interne. Avec cette configuration,
sont inaccessibles depuis Internet, mais sont accessibles à partir de Workflows.
Pour appliquer ces restrictions, vous devez régler les paramètres d'entrée de votre
un service ou une fonction. Notez que le service Cloud Run doit être
sur son URL run.app et non sur un domaine personnalisé. Pour plus d'informations,
consultez la section Restreindre le trafic d'entrée (pour Cloud Run).
et Configuration des paramètres réseau
(pour Cloud Functions). Aucune autre modification n'est nécessaire dans votre workflow.
Clés de chiffrement gérées par le client (CMEK)
Si vous avez des exigences réglementaires ou de conformité spécifiques liées aux clés qui protègent vos données, vous pouvez utiliser clés de chiffrement gérées par le client (CMEK) pour Workflows Votre workflow et les données au repos associées protégées par une clé de chiffrement à laquelle vous seul avez accès et que vous pouvez et les gérer à l'aide de Cloud Key Management Service (Cloud KMS). Pour plus plus d'informations, consultez Utiliser des clés de chiffrement gérées par le client.
Compatibilité avec VPC Service Controls (VPC SC)
VPC Service Controls est un mécanisme permettant de limiter les risques d'exfiltration de données. Vous pouvez utiliser VPC Service Controls avec Workflows pour protéger vos services. Pour en savoir plus, consultez Configurez un périmètre de service à l'aide de VPC Service Controls.
Secret Manager pour stocker et sécuriser les données sensibles
Secret Manager est un système de stockage sécurisé et pratique Clés API, mots de passe, certificats et autres données sensibles. Vous pouvez utiliser un Connecteur de workflows pour accéder à Secret Manager dans un workflow. Cela vous permet de simplifier l'intégration, le connecteur gère la mise en forme des requêtes, et fournit des méthodes et des arguments afin que vous n'ayez pas besoin de connaître les détails de l'API Secret Manager. Pour en savoir plus, consultez Sécurisez et stockez les données sensibles à l'aide du connecteur Secret Manager.
Intégration à Cloud Logging, Cloud Monitoring et Cloud Audit Logs
Les journaux constituent une source principale d'informations de diagnostic sur l'état de de flux de travail. La journalisation vous permet de stocker, d'afficher rechercher et analyser les données et événements des journaux, et créer des alertes à leur sujet.
Workflows est intégré à Logging et génère automatiquement des journaux d'exécution pour les exécutions de workflow. Grâce au de Logging, vous pouvez afficher les journaux tout workflow émet immédiatement, et vous pouvez utiliser Logging pour de centraliser les journaux de tous vos workflows. Vous pouvez aussi contrôler quand les journaux sont envoyés à Logging pendant l'exécution d'un workflow via la journalisation des appels ou des journaux personnalisés. Pour en savoir plus, consultez Envoyez des journaux à Logging.
En plus de consommer des journaux, vous devez généralement surveiller d'autres aspects pour assurer un fonctionnement fiable. Utiliser Monitoring pour obtenir une visibilité sur les performances, le temps d'activité et l'état général de flux de travail.
Pour suivre et gérer les détails des interactions avec vos Google Cloud ressources, vous pouvez utiliser Cloud Audit Logs pour capturer comme l'accès aux données. Utiliser des contrôles IAM pour limiter les utilisateurs autorisés d'afficher les journaux d'audit. Pour en savoir plus, consultez les informations concernant les journaux d'audit pour workflows et exécutions de workflow.
Conformité aux normes
Pour confirmer les workflows à différentes normes, consultez Contrôles de conformité.