VMware Engine-Sicherheit – Übersicht

Auf dieser Seite werden die Sicherheitsfunktionen beschrieben, die VMware Engine verwendet, um zum Schutz Ihrer Daten und Ihrer Umgebung. Eine detaillierte Liste Ihrer Aufgaben, Informationen dazu, wofür Google verantwortlich ist, finden Sie unter VMware Engine-Modell der geteilten Verantwortung.

Dedizierte Hardware

Als Teil des VMware Engine-Dienstes erhalten alle Kunden dedizierte Bare-Metal-Hosts mit lokalen angehängten Laufwerken, die von anderer Hardware isoliert sind. Ein ESXi-Hypervisor mit vSAN wird auf jedem Knoten ausgeführt. Die Knoten werden über kundenspezifische VMware vCenter und NSX verwaltet. Wenn Sie keine Hardware zwischen Mandanten freigeben, erhalten Sie eine zusätzliche Isolationsschicht sowie einen Schutz.

Datensicherheit

Kunden behalten die Kontrolle über ihre Daten. Die Verantwortung für Kundendaten ist für den Kunden verantwortlich.

Datenschutz für inaktive Daten und für die Übertragung innerhalb interner Netzwerke

Inaktive Daten in der privaten Cloud-Umgebung können mit der vSAN-Softwareverschlüsselung verschlüsselt werden. Die vSAN-Verschlüsselung nutzt externe Schlüsselverwaltungslösungen zum Speichern von Verschlüsselungsschlüsseln.

VMware Engine aktiviert die Verschlüsselung ruhender vSAN-Daten standardmäßig für alle neue private Clouds bereitgestellt, wobei die Infrastruktur für die Schlüsselverwaltung von Google als Teil des Dienstes. Weitere Informationen zum Standardverschlüsselungsmodell finden Sie unter vSAN-Verschlüsselung.

Wenn der KMS von Nutzern verwaltet werden muss, können Sie optional eine externe Schlüsselverwaltungsinfrastruktur bereitstellen und sie als Schlüsselanbieter in vCenter konfigurieren. Für eine Eine Liste der validierten KMS-Anbieter finden Sie unter Unterstützte Anbieter.

Wir gehen davon aus, dass Anwendungen ihr Netzwerk für die Übertragung von Daten verschlüsseln. innerhalb interner Netzwerksegmente. vSphere unterstützt die Verschlüsselung von vMotion-Traffic zu übertragen.

Datenschutz für Daten, die durch öffentliche Netzwerke geleitet werden müssen

Zum Schutz von Daten, die über öffentliche Netzwerke übertragen werden, können Sie IPsec- und SSL-VPN-Tunnel für Ihre privaten Clouds erstellen. Es werden gängige Verschlüsselungsmethoden unterstützt, einschließlich 128-Byte und 256-Byte-AES. Bei der Übertragung werden Daten, einschließlich Authentifizierung, Administratorzugriff und Kundendaten, mit standardmäßigen Verschlüsselungsverfahren (SSH, TLS 1.2 und Secure RDP) verschlüsselt. Zur Übertragung von vertraulichen Informationen werden die Standardverschlüsselungsmechanismen verwendet.

Sichere Beseitigung

Wenn Ihr Dienst abläuft oder gekündigt wird, sind Sie dafür verantwortlich, Ihre Daten zu entfernen oder zu löschen. Google arbeitet mit Ihnen zusammen, um Kundendaten gemäß der Kundenvereinbarung zu löschen oder zurückzugeben, es sei denn, Google ist gesetzlich dazu verpflichtet, einige oder alle personenbezogenen Daten aufzubewahren. Falls erforderlich, werden die Daten von Google archiviert und es werden angemessene Maßnahmen ergriffen, um die weitere Verarbeitung von Kundendaten zu verhindern.

Speicherort der Daten

Die Anwendungsdaten befinden sich in der Region, die Sie bei der Erstellung der privaten Cloud ausgewählt haben. Der Dienst ändert den Standort der Daten nicht, ohne dass eine bestimmte Kundenaktion oder Trigger erforderlich ist (z. B. vom Nutzer konfigurierte Replikation in eine private Cloud in einer anderen Google Cloud-Region). Wenn Ihr Anwendungsfall jedoch erfordert, können Sie Ihre Arbeitslasten regionenübergreifend bereitstellen sowie die Replikation und die Datenmigration zwischen Regionen konfigurieren.

Datensicherungen

VMware Engine sichert oder archiviert keine Anwendungsdaten von Kunden, die sich in virtuellen VMware-Maschinen befinden. VMware Engine sichert regelmäßig die vCenter- und NSX-Konfiguration. Vor der Sicherung werden alle Daten auf dem Quellverwaltungsserver (z. B. vCenter) mit VMware-APIs verschlüsselt. Die verschlüsselten Sicherungsdaten werden in Cloud Storage-Buckets übertragen und gespeichert.

Netzwerksicherheit

Google Cloud VMware Engine basiert auf Netzwerksicherheitsebenen.

Edge-Sicherheit

Der Google Cloud VMware Engine-Dienst wird in Google Cloud gemäß der grundlegenden Netzwerksicherheit von Google Cloud ausgeführt. Dies gilt sowohl für die VMware-Anwendung als auch für die dedizierte und private VMware-Umgebung. Google Cloud bietet integrierten Schutz vor DDoS-Angriffen (Distributed Denial-of-Service). VMware Engine folgt der Strategie der gestaffelten Sicherheitsebenen, um das Edge-Netzwerk zu schützen und dabei Sicherheitskontrollen wie Firewallregeln und NAT implementiert.

Segmentierung

VMware Engine hat logisch logische Layer-2-Netzwerke, die den Zugriff auf Ihre eigenen internen Netzwerke in Ihrer privaten Cloud-Umgebung einschränken. Mit einer Firewall können Sie Ihre privaten Cloud-Netzwerke zusätzlich schützen. Die In der Google Cloud Console können Sie Regeln für EW- und NS-Netzwerk-Traffic-Steuerelemente definieren für den gesamten Netzwerkverkehr, einschließlich intra-privater Cloud-Traffic, Cloud-Traffic, allgemeiner Traffic zum Internet und Netzwerk-Traffic zum in einer lokalen Umgebung.

Sicherheitslücken und Patchverwaltung

Google ist für regelmäßige Sicherheitspatches der verwalteten VMware-Software (ESXi, vCenter und NSX) verantwortlich.

Identity and Access Management

Sie können sich mit SSO über Google Cloud bei der Google Cloud Console authentifizieren. Sie gewähren Nutzern mithilfe von IAM-Rollen und ‑Berechtigungen Zugriff auf die Google Cloud Console.

In der Standardeinstellung erstellt VMware Engine ein Nutzerkonto für Sie in der lokalen vCenter-Domain der privaten Cloud. Sie können neue lokale Nutzer hinzufügen oder vCenter für eine vorhandene Identitätsquelle konfigurieren. Fügen Sie dazu entweder eine vorhandene lokale Identitätsquelle oder eine neue Identitätsquelle in der privaten Cloud hinzu.

Der Standardnutzer verfügt über ausreichende Berechtigungen, um alltägliche Aufgaben auszuführen. vCenter-Vorgänge von vCenter in der privaten Cloud, jedoch nicht über vollständigen Administratorzugriff auf vCenter. Wenn vorübergehend Administratorzugriff erforderlich ist, können Sie Ihre Berechtigungen für einen begrenzten Zeitraum erhöhen, während Sie die Administratoraufgaben ausführen.

Einige Drittanbieter-Tools und -Produkte, die mit Ihrer privaten Cloud verwendet werden, erfordern unter Umständen einen Nutzer mit Administratorberechtigungen in vSphere. Wenn Sie eine private Cloud erstellen, erstellt VMware Engine auch Lösungsnutzerkonten mit Administratorberechtigungen, die Sie mit Tools und Produkten von Drittanbietern verwenden können.

Compliance

Google Cloud ist bestrebt, seine Abdeckung kontinuierlich zu erweitern, der wichtigsten Compliance-Standards. VMware Engine hat Folgendes erreicht: ISO/IEC 27001, 27017, 27018 PCI-DSS; SOC 1, SOC 2 und SOC 3 Compliance-Zertifizierungen. Google Cloud Business Die Associate Agreement (BAA) deckt auch die VMware Engine ab.

Wenn Sie Hilfe bei der Prüfung benötigen, wenden Sie sich an Ihren Kundenbetreuer. Dieser stellt Ihnen die neuesten ISO-Zertifizierungen, SOC-Berichte und Selbstbewertungen zur Verfügung.

Nächste Schritte