Ringkasan keamanan VMware Engine

Halaman ini menjelaskan fitur keamanan yang digunakan VMware Engine untuk membantu menjaga keamanan data dan lingkungan Anda. Untuk daftar terperinci tentang apa yang Anda, apa yang menjadi tanggung jawab pelanggan dan apa yang menjadi tanggung jawab Google, lihat model tanggung jawab bersama VMware Engine.

Hardware khusus

Sebagai bagian dari layanan VMware Engine, semua pelanggan mendapatkan {i>host<i} bare metal dengan {i>disk<i} yang terpasang secara lokal yang secara fisik terisolasi dari perangkat keras lainnya. Hypervisor ESXi dengan vSAN berjalan di setiap node. Node-node tersebut berupa dikelola melalui VMware vCenter dan NSX khusus pelanggan. Tidak berbagi hardware antar-tenant memberikan lapisan isolasi dan keamanan tambahan perlindungan data.

Keamanan data

Pelanggan tetap memegang kontrol dan kepemilikan atas data mereka. Pengelolaan data pelanggan adalah tanggung jawab pelanggan.

Perlindungan data untuk data dalam penyimpanan dan data dalam pengiriman di jaringan internal

Data dalam penyimpanan di lingkungan cloud pribadi dapat dienkripsi menggunakan vSAN enkripsi berbasis software. Enkripsi vSAN mengandalkan Key Management eksternal Solusi untuk menyimpan kunci enkripsi.

VMware Engine mengaktifkan enkripsi data dalam penyimpanan vSAN secara default untuk semua cloud pribadi baru di-deploy, dengan infrastruktur pengelolaan kunci yang dikelola oleh Google sebagai bagian dari layanan. Untuk detail terkait enkripsi default lihat Tentang enkripsi vSAN.

Jika KMS harus dikelola oleh pengguna, Anda dapat men-deploy kunci eksternal secara opsional dan mengonfigurasinya sebagai penyedia utama di vCenter. Untuk untuk mengetahui daftar penyedia KMS yang divalidasi, lihat Vendor yang didukung.

Untuk data dalam pengiriman, kami mengharapkan aplikasi mengenkripsi jaringan mereka komunikasi dalam segmen jaringan internal. vSphere mendukung enkripsi data melalui kabel untuk traffic vMotion.

Perlindungan data untuk data yang diperlukan untuk berpindah melalui jaringan publik

Untuk melindungi data yang berpindah melalui jaringan publik, Anda dapat membuat IPsec dan SSL Tunnel VPN untuk cloud pribadi Anda. Metode enkripsi umum didukung, termasuk AES 128-byte dan 256-byte. Data dalam pengiriman (termasuk autentikasi, akses administratif, dan data pelanggan) dienkripsi dengan enkripsi standar (SSH, TLS 1.2, dan RDP Aman). Komunikasi yang mengangkut informasi sensitif menggunakan mekanisme enkripsi standar.

Pembuangan aman

Jika layanan Anda kedaluwarsa atau dihentikan, Anda bertanggung jawab untuk menghapus atau menghapus data Anda. Google akan bekerja sama dengan Anda untuk menghapus atau mengembalikan semua sebagaimana dinyatakan dalam perjanjian pelanggan, kecuali apabila Google diwajibkan oleh hukum yang berlaku untuk menyimpan sebagian atau semua data pribadi. Jika perlu untuk menyimpan data pribadi, Google akan mengarsipkan data dan menerapkan tindakan yang wajar untuk mencegah data pelanggan dari upaya diproses.

Lokasi data

Data aplikasi Anda berada di wilayah yang Anda pilih saat privasi pembuatan cloud. Layanan ini tidak mengubah lokasi data itu sendiri tanpa tindakan atau pemicu spesifik dari pelanggan (misalnya, konfigurasi pengguna replikasi ke cloud pribadi di region Google Cloud yang berbeda). Namun, jika diperlukan, Anda dapat men-deploy workload di berbagai region dan mengonfigurasi replikasi dan migrasi data antar-region.

Pencadangan data

VMware Engine tidak mencadangkan atau mengarsipkan data aplikasi pelanggan yang ada di dalam virtual machine VMware. Mesin VMware mencadangkan konfigurasi vCenter dan NSX secara berkala. Sebelum pencadangan, semua data dienkripsi di server pengelolaan sumber (misalnya, vCenter) menggunakan VMware Google Cloud Platform. Data cadangan terenkripsi dipindahkan dan disimpan di Cloud Storage. bucket.

Keamanan jaringan

Google Cloud VMware Engine mengandalkan keamanan jaringan berlapis.

Keamanan edge

Layanan Google Cloud VMware Engine berjalan di dalam Google Cloud di bawah dasar pengukuran keamanan jaringan yang disediakan oleh Google Cloud. Hal ini berlaku untuk Aplikasi VMware Engine serta VMware khusus dan pribadi lingkungan fleksibel App Engine. Google Cloud memberikan perlindungan bawaan terhadap serangan distributed denial-of-service (DDoS). VMware Engine juga mengikuti strategi pertahanan mendalam untuk mengamankan tepian jaringan dengan menerapkan kontrol keamanan seperti aturan {i>firewall<i} dan NAT.

Segmentation

VMware Engine memiliki jaringan Lapisan 2 yang terpisah secara logis yang membatasi akses ke jaringan internal Anda di lingkungan {i>cloud<i} pribadi Anda. Anda dapat melindungi jaringan {i>private cloud<i} Anda dengan menggunakan {i>firewall<i}. Tujuan Konsol Google Cloud memungkinkan Anda menentukan aturan untuk kontrol traffic jaringan EW dan NS untuk semua traffic jaringan, termasuk traffic cloud intra-pribadi, lalu lintas {i>cloud<i}, lalu lintas umum ke internet, dan lalu lintas jaringan ke lingkungan lokal.

Kerentanan dan pengelolaan patch

Google bertanggung jawab atas patch keamanan berkala untuk software VMware terkelola (ESXi, vCenter, dan NSX).

Identity and Access Management

Anda dapat melakukan autentikasi ke konsol Google Cloud dari Google Cloud menggunakan SSO. Anda memberikan akses kepada pengguna untuk mengakses Konsol Google Cloud menggunakan peran dan IAM izin akses.

Secara default, VMware Engine membuatkan akun pengguna untuk Anda di domain lokal vCenter dari cloud pribadi. Anda dapat menambahkan pengguna lokal baru atau mengonfigurasi vCenter untuk menggunakan sumber identitas yang ada. Untuk melakukannya, tambahkan sumber identitas lokal yang ada atau sumber identitas baru dalam cloud pribadi.

Pengguna default memiliki hak istimewa yang memadai untuk melakukan tugas sehari-hari yang diperlukan Operasi vCenter vCenter dalam {i>cloud<i} pribadi, tetapi mereka tidak memiliki akses administrator penuh ke vCenter. Jika akses administrator untuk sementara diperlukan, Anda dapat meningkatkan hak istimewa Anda selama jangka waktu terbatas sambil menyelesaikan tugas administrator.

Beberapa alat dan produk pihak ketiga yang digunakan dengan cloud pribadi Anda mungkin memerlukan memiliki hak istimewa administratif di vSphere. Saat Anda membuat Cloud, VMware Engine juga menciptakan solusi akun pengguna dengan solusi hak istimewa yang dapat Anda gunakan dengan alat dan produk pihak ketiga.

Kepatuhan

Google Cloud tetap berkomitmen untuk terus memperluas cakupan kami terhadap standar kepatuhan yang paling penting. VMware Engine telah mencapai ISO/IEC 27001, 27017, 27018; PCI-DSS; SOC 1, SOC 2, dan SOC 3 sertifikasi kepatuhan, dan sebagainya. Selanjutnya, Google Cloud Business Perjanjian Rekanan (BAA) juga mencakup VMware Engine.

Untuk bantuan terkait audit, hubungi perwakilan akun Anda untuk Sertifikat ISO, laporan SOC, dan penilaian mandiri.

Langkah selanjutnya