Questa pagina è stata tradotta dall'API Cloud Translation.

Sicurezza di VMware Engine

Responsabilità condivisa

Google Cloud VMware Engine ha un modello di responsabilità condivisa per la sicurezza. Attendibile la sicurezza nel cloud si ottiene attraverso la responsabilità condivisa dei e Google come fornitore di servizi. Questa matrice di responsabilità offre una maggiore sicurezza ed elimina single point of failure.

Hardware dedicato

Come parte del servizio VMware Engine, tutti i clienti hanno a disposizione bare metal bare metal con dischi collegati locali che sono fisicamente isolati altro hardware. Su ogni nodo viene eseguito un hypervisor ESXi con vSAN. I nodi sono gestiti tramite VMware vCenter e NSX dedicati al cliente. Hardware non condiviso tra i tenant fornisce un ulteriore livello di isolamento e sicurezza protezione dei dati.

Protezione dei dati

I clienti mantengono il controllo e la proprietà dei propri dati. Gestione dei dati dei clienti è responsabilità del cliente.

Protezione dei dati at-rest e in transito all'interno delle reti interne

I dati at-rest nell'ambiente cloud privato possono essere criptati utilizzando vSAN la crittografia basata su software. La crittografia vSAN si basa su una gestione delle chiavi esterna Soluzioni per archiviare le chiavi di crittografia.

VMware Engine abilita la crittografia at-rest dei dati vSAN per impostazione predefinita nuovi cloud privati distribuiti, con l'infrastruttura di gestione delle chiavi gestita Google come parte del servizio. Per dettagli relativi alla crittografia predefinita consulta Informazioni sulla crittografia vSAN.

Se il KMS deve essere gestito dagli utenti, puoi facoltativamente eseguire il deployment della chiave esterna e configurarla come fornitore di chiavi in vCenter. Per un di provider KMS convalidati, consulta Fornitori supportati.

Per i dati in transito, ci aspettiamo che le applicazioni criptino la loro rete la comunicazione all'interno di segmenti di rete interni. vSphere supporta la crittografia di i dati in cavo per il traffico di vMotion.

Protezione dei dati necessari per muoversi attraverso le reti pubbliche

Per proteggere i dati che si spostano attraverso le reti pubbliche, puoi creare IPsec e SSL Tunnel VPN per i cloud privati. Sono supportati metodi di crittografia comuni, inclusi AES da 128 e 256 byte. I dati in transito (tra cui autenticazione, accesso amministrativo e dati dei clienti) è criptato con la crittografia standard (SSH, TLS 1.2 e Secure RDP). Comunicazione che trasporta le informazioni sensibili utilizzano i meccanismi di crittografia standard.

Smaltimento sicuro

Se il servizio scade o viene interrotto, sei responsabile della rimozione o l'eliminazione dei tuoi dati. Google collaborerà con te per eliminare o restituire tutti Dati del cliente forniti nel contratto con il cliente, salvo nella misura in cui Google è tenuta, ai sensi della legge vigente, a conservare alcuni o tutti i dati personali. Se necessario per conservare dati personali, Google li archivierà e adottare misure ragionevoli per evitare che i dati dei clienti e l'elaborazione dei dati.

Località dei dati

I dati della tua applicazione si trovano nella regione selezionata durante la e la creazione nel cloud. Il servizio non modifica da solo la posizione dei dati. senza un attivatore o un'azione specifica del cliente (ad esempio, su un cloud privato in un'altra regione Google Cloud). Tuttavia, se richieste dal tuo caso d'uso, puoi eseguire il deployment dei carichi di lavoro in più regioni e configurare la replica e la migrazione dei dati tra regioni.

Backup dei dati

VMware Engine non esegue il backup né l'archiviazione dei dati delle applicazioni del cliente che risiede all'interno di macchine virtuali VMware. VMware Engine esegue periodicamente il backup della configurazione vCenter e NSX. Prima del backup, tutti i dati è criptato sul server di gestione di origine (ad esempio, vCenter) tramite VMware su quelle di livello inferiore. I dati di backup criptati vengono trasportati e archiviati in Cloud Storage bucket.

Sicurezza della rete

Google Cloud VMware Engine si basa su livelli di sicurezza di rete.

Sicurezza perimetrale

Il servizio Google Cloud VMware Engine viene eseguito all'interno di Google Cloud in base alla base di riferimento della sicurezza di rete fornita da Google Cloud. Questo vale sia per il l'applicazione VMware Engine e l'ambiente VMware dedicato completamente gestito di Google Cloud. Google Cloud offre protezione integrata degli attacchi DDoS (Distributed Denial-of-Service). e VMware Engine segue la strategia di difesa in profondità per contribuire a proteggere il perimetro della rete l'implementazione di controlli di sicurezza come regole firewall e NAT.

Segmentazione

VMware Engine ha reti di livello 2 separate logicamente che limitano alle tue reti interne nel tuo ambiente cloud privato. Puoi per proteggere ulteriormente le reti del cloud privato utilizzando un firewall. La La console Google Cloud consente di definire le regole per i controlli del traffico di rete EW e NS per tutto il traffico di rete, compreso quello intra-privato e tra privati traffico cloud, traffico generale su internet e traffico di rete verso dell'ambiente on-premise.

Vulnerabilità e gestione delle patch

Google è responsabile delle patch di sicurezza periodiche per il software VMware gestito (ESXi, vCenter e NSX).

Identity and Access Management

Puoi eseguire l'autenticazione alla console Google Cloud da Google Cloud utilizzando SSO. Puoi concedere agli utenti l'accesso alla console Google Cloud utilizzando i ruoli IAM e autorizzazioni.

Per impostazione predefinita, VMware Engine crea un account utente per te Dominio locale vCenter del cloud privato. Puoi aggiungere nuovi utenti locali configurare vCenter in modo che utilizzi un'origine identità esistente. Per farlo, aggiungi un'origine identità esistente on-premise o una nuova origine identità all'interno del e cloud privato.

L'utente predefinito dispone di privilegi sufficienti per eseguire le attività quotidiane le operazioni di vCenter all'interno del cloud privato, ma non con accesso amministrativo completo a vCenter. Se l'accesso come amministratore è temporaneamente richiesto, puoi aumentare i tuoi privilegi per un periodo di tempo limitato per completare le attività amministrative.

Alcuni strumenti e prodotti di terze parti utilizzati con il cloud privato potrebbero richiedere di disporre di privilegi amministrativi in vSphere. Quando crei un'immagine cloud, VMware Engine crea anche account utente della soluzione con privilegi amministrativi che puoi utilizzare con strumenti e prodotti di terze parti.

Conformità

Google Cloud continua a impegnarsi a espandere continuamente la sua copertura contro i più importanti standard di conformità. VMware Engine ha ottenuto ISO/IEC 27001, 27017, 27018; PCI-DSS; SOC 1, SOC 2 e SOC 3 certificazioni di conformità, tra le altre. Inoltre, Google Cloud Business Il Contratto di società (BAA, Associate Agreement) copre anche VMware Engine.

Per assistenza con il controllo, contatta il rappresentante del tuo account per sapere Certificati ISO, report SOC e autovalutazioni.