VMware Engine のセキュリティ
責任の共有
Google Cloud VMware Engine には、セキュリティの責任共有モデルがあります。クラウドでの信頼できるセキュリティは、サービス プロバイダとしての Google とお客様との責任の共有によって達成されます。この責任の分担により、より高いセキュリティを提供し、単一障害点を排除します。
専用ハードウェア
VMware Engine サービスの一部として、すべてのお客様は、他のハードウェアから物理的に分離されたローカル接続ディスクを備えた専用のベアメタル ホストを使用できます。vSAN を使用した ESXi ハイパーバイザが各ノードで実行されます。ノードは専用の VMware vCenter と NSX を介して管理されます。テナント間でハードウェアを共有しないことによって、分離とセキュリティ保護が強化されます。
データ セキュリティ
お客様は各自のデータの制御と所有権を保持します。お客様のデータの管理は、お客様の責任において行っていただきます。
内部ネットワーク内での保存データと転送中のデータの保護
プライベート クラウド環境での保存データは、vSAN ソフトウェア ベースの暗号化を使用して暗号化されます。vSAN 暗号化は、外部の鍵管理ソリューションを使用して暗号鍵を保存します。
VMware Engine では、デプロイされる新しいプライベート クラウドに対して vSAN 保存データがデフォルトで暗号化されます。その際、サービスの一部として Google が管理する鍵管理インフラストラクチャが使用されます。デフォルトの暗号化モデルに関連する詳細については、vSAN 暗号化についてをご覧ください。
ユーザーが KMS を管理する必要がある場合は、必要に応じて外部の鍵管理インフラストラクチャをデプロイして vCenter で鍵プロバイダとして構成できます。検証済みの KMS プロバイダのリストについては、サポートされるベンダーをご覧ください。
転送中のデータの場合、アプリケーションは内部ネットワーク セグメント内のネットワーク通信を暗号化する必要があります。vSphere では、vMotion トラフィックのネットワークを介したデータの暗号化をサポートしています。
パブリック ネットワーク間での移動が必要なデータのためのデータ保護
パブリック ネットワーク間を移動するデータを保護するために、プライベート クラウド用の IPsec と SSL の VPN トンネルを作成できます。128 バイトや 256 バイト AES などの一般的な暗号化方式がサポートされています。転送中のデータ(認証、管理者権限、顧客データなど)は、標準の暗号化機能(SSH、TLS 1.2、セキュア RDP)で暗号化されます。機密情報を転送する通信では、標準の暗号化機能が使用されます。
安全な廃棄
サービスが期限切れになった、または終了した場合は、お客様の責任でデータの削除を行います。Google は、個人データの一部または全部を保持することが法律上求められる場合を除き、顧客契約で提示されているとおりに、すべてのお客様のデータを削除または返却するため、お客様に協力いたします。個人データを保持する必要がある場合、Google はデータをアーカイブし、お客様のデータがそれ以上処理されないように合理的な措置を講じます。
データのロケーション
アプリケーション データは、プライベート クラウドの作成時に選択したリージョンに置かれます。このサービスにより、特定のお客様のアクションやトリガー(たとえば、ユーザーが構成した、別の Google Cloud リージョン内のプライベート クラウドへのレプリケーションなど)がなければ、データのロケーションが変更されることはありません。ただし、ユースケースで必要とされる場合は、リージョン間でワークロードをデプロイし、リージョン間のレプリケーションとデータ移行を構成できます。
データのバックアップ
VMware Engine は、VMware 仮想マシン内にある顧客アプリケーション データのバックアップやアーカイブを行いません。VMware Engine は、vCenter と NSX の構成を定期的にバックアップします。バックアップ前に、すべてのデータがソース管理サーバー(vCenter など)で VMware API を使用して暗号化されます。暗号化されたバックアップ データが転送され、Cloud Storage バケットに保存されます。
ネットワーク セキュリティ
Google Cloud VMware Engine は、ネットワーク セキュリティのレイヤに依存しています。
Edge のセキュリティ
Google Cloud VMware Engine サービスは、Google Cloud が提供するベースライン ネットワーク セキュリティの下、Google Cloud 内で動作します。これは、VMware Engine アプリケーションと専用の VMware 専用環境の両方に適用されます。Google Cloud には、分散型サービス拒否攻撃(DDoS)から保護する機能があります。また、VMware Engine は、ファイアウォール ルールや NAT などのセキュリティ管理を実施してネットワーク エッジを保護するための多層防御方式を採用しています。
セグメンテーション
VMware Engine には、プライベート クラウド環境の内部ネットワークへのアクセスを制限する論理的に独立したレイヤ 2 ネットワークがあります。ファイアウォールを使用すると、プライベート クラウド ネットワークをさらに保護できます。VMware Engine ポータルで、すべてのネットワーク トラフィック用の EW と NS のネットワーク トラフィックの制御についてのルールを定義できます。これには、プライベート クラウド内トラフィック、プライベート クラウド間トラフィック、インターネットへの一般的なトラフィック、オンプレミス環境へのネットワーク トラフィックが含まれます。
脆弱性とパッチの管理
Google は、マネージド VMware ソフトウェア(ESXi、vCenter、NSX)の定期的なセキュリティ パッチ適用を担当しています。
ID とアクセスの管理
SSO を使用して Google Cloud から VMware Engine ポータルに認証できます。IAM のロールと権限を使用して、VMware Engine ポータルにアクセスするユーザーにアクセス権を付与します。
デフォルトでは、VMware Engine はプライベート クラウドの vCenter ローカル ドメインにユーザー アカウントが作成されます。新しいローカル ユーザーを追加するか、既存の ID ソースを使用するように vCenter を構成できます。そのためには、既存のオンプレミス ID ソースまたは新しい ID ソースをプライベート クラウド内に追加します。
デフォルト ユーザーには、プライベート クラウド内で必要な日々の vCenter オペレーションを実行するのに十分な権限がありますが、vCenter への完全な管理者権限はありません。一時的に管理者権限が必要な場合は、管理者タスクを完了するまでの一定期間、権限を昇格できます。
プライベート クラウドで使用するサードパーティ ツールやプロダクトの中には、vSphere の管理者権限を必要とするものもあります。プライベート クラウドを作成すると、サードパーティ ツールとプロダクトで使用できる管理者権限があるソリューション ユーザー アカウントも VMware Engine によって作成されます。