Ringkasan keamanan VMware Engine

Halaman ini menjelaskan fitur keamanan yang digunakan VMware Engine untuk membantu menjaga keamanan data dan lingkungan Anda. Untuk mengetahui daftar mendetail tentang hal yang menjadi tanggung jawab Anda sebagai pelanggan dan hal yang menjadi tanggung jawab Google, lihat Model tanggung jawab bersama VMware Engine.

Hardware khusus

Sebagai bagian dari layanan VMware Engine, semua pelanggan mendapatkan host bare metal khusus dengan disk terpasang lokal yang secara fisik terisolasi dari hardware lain. Hypervisor ESXi dengan vSAN berjalan di setiap node. Node dikelola melalui VMware vCenter dan NSX khusus pelanggan. Tidak berbagi hardware antar-tenant memberikan lapisan isolasi dan perlindungan keamanan tambahan.

Keamanan data

Pelanggan tetap memiliki kontrol dan kepemilikan atas data mereka. Pengelolaan data pelanggan adalah tanggung jawab pelanggan.

Perlindungan data untuk data dalam penyimpanan dan data dalam pengiriman dalam jaringan internal

Data dalam penyimpanan di lingkungan cloud pribadi dapat dienkripsi menggunakan enkripsi berbasis software vSAN. Enkripsi vSAN mengandalkan Solusi Pengelolaan Kunci eksternal untuk menyimpan kunci enkripsi.

VMware Engine mengaktifkan enkripsi data dalam penyimpanan vSAN secara default untuk setiap cloud pribadi baru yang di-deploy, dengan infrastruktur pengelolaan kunci yang dikelola oleh Google sebagai bagian dari layanan. Untuk mengetahui detail terkait model enkripsi default, lihat Tentang enkripsi vSAN.

Jika KMS harus dikelola oleh pengguna, Anda dapat men-deploy infrastruktur pengelolaan kunci eksternal secara opsional dan mengonfigurasinya sebagai penyedia kunci di vCenter. Untuk daftar penyedia KMS yang divalidasi, lihat Vendor yang didukung.

Untuk data dalam pengiriman, kami mengharapkan aplikasi mengenkripsi komunikasi jaringannya dalam segmen jaringan internal. vSphere mendukung enkripsi data melalui kabel untuk traffic vMotion.

Perlindungan data untuk data yang harus ditransfer melalui jaringan publik

Untuk melindungi data yang bergerak melalui jaringan publik, Anda dapat membuat tunnel VPN IPsec dan SSL untuk cloud pribadi. Metode enkripsi umum didukung, termasuk AES 128 byte dan 256 byte. Data dalam pengiriman (termasuk autentikasi, akses administratif, dan data pelanggan) dienkripsi dengan mekanisme enkripsi standar (SSH, TLS 1.2, dan RDP Aman). Komunikasi yang mengangkut informasi sensitif menggunakan mekanisme enkripsi standar.

Pengolahan yang aman

Jika masa berlaku layanan Anda habis atau dihentikan, Anda bertanggung jawab untuk menghapus atau menghapus data Anda. Google akan bekerja sama dengan Anda untuk menghapus atau mengembalikan semua data pelanggan seperti yang disediakan dalam perjanjian pelanggan, kecuali jika Google diwajibkan oleh hukum yang berlaku untuk menyimpan sebagian atau semua data pribadi. Jika perlu menyimpan data pribadi, Google akan mengarsipkan data tersebut dan menerapkan langkah-langkah yang wajar untuk mencegah pemrosesan lebih lanjut terhadap data pelanggan.

Lokasi data

Data aplikasi Anda berada di region yang Anda pilih selama pembuatan cloud pribadi. Layanan ini tidak mengubah lokasi data secara mandiri tanpa tindakan atau pemicu pelanggan tertentu (misalnya, replikasi yang dikonfigurasi pengguna ke cloud pribadi di region Google Cloud yang berbeda). Namun, jika kasus penggunaan Anda mengharuskannya, Anda dapat men-deploy workload di seluruh region dan mengonfigurasi replikasi serta migrasi data antar-region.

Pencadangan data

VMware Engine tidak mencadangkan atau mengarsipkan data aplikasi pelanggan yang berada dalam virtual machine VMware. VMware Engine secara berkala mencadangkan konfigurasi vCenter dan NSX. Sebelum pencadangan, semua data dienkripsi di server pengelolaan sumber (misalnya, vCenter) menggunakan VMware API. Data pencadangan terenkripsi ditranspor dan disimpan di bucket Cloud Storage.

Keamanan jaringan

Google Cloud VMware Engine mengandalkan lapisan keamanan jaringan.

Keamanan Edge

Layanan Google Cloud VMware Engine berjalan di dalam Google Cloud berdasarkan keamanan jaringan dasar pengukuran yang disediakan oleh Google Cloud. Hal ini berlaku untuk aplikasi VMware Engine dan lingkungan VMware khusus dan pribadi. Google Cloud menyediakan perlindungan bawaan terhadap serangan distributed denial of service (DDoS). VMware Engine juga mengikuti strategi pertahanan menyeluruh untuk membantu mengamankan edge jaringan dengan menerapkan kontrol keamanan seperti aturan firewall dan NAT.

Segmentation

VMware Engine memiliki jaringan Lapisan 2 yang terpisah secara logis yang membatasi akses ke jaringan internal Anda sendiri di lingkungan cloud pribadi. Anda dapat lebih lanjut melindungi jaringan cloud pribadi menggunakan firewall. Konsol Google Cloud memungkinkan Anda menentukan aturan untuk kontrol traffic jaringan EW dan NS untuk semua traffic jaringan, termasuk traffic intra-cloud pribadi, traffic cloud antar-pribadi, traffic umum ke internet, dan traffic jaringan ke lingkungan lokal.

Kerentanan dan pengelolaan patch

Google bertanggung jawab untuk melakukan patch keamanan berkala pada software VMware terkelola (ESXi, vCenter, dan NSX).

Identity and Access Management

Anda dapat melakukan autentikasi ke konsol Google Cloud dari Google Cloud menggunakan SSO. Anda memberikan akses kepada pengguna untuk mengakses konsol Google Cloud menggunakan peran dan izin IAM.

Secara default, VMware Engine membuat akun pengguna untuk Anda di domain lokal vCenter di cloud pribadi. Anda dapat menambahkan pengguna lokal baru atau mengonfigurasi vCenter untuk menggunakan sumber identitas yang ada. Untuk melakukannya, tambahkan sumber identitas on-premise yang ada atau sumber identitas baru dalam cloud pribadi.

Pengguna default memiliki hak istimewa yang memadai untuk melakukan operasi vCenter harian yang diperlukan dari vCenter dalam cloud pribadi, tetapi mereka tidak memiliki akses administrator penuh ke vCenter. Jika akses administrator diperlukan sementara, Anda dapat meningkatkan hak istimewa selama jangka waktu terbatas saat menyelesaikan tugas administrator.

Beberapa alat dan produk pihak ketiga yang digunakan dengan cloud pribadi Anda mungkin mengharuskan pengguna memiliki hak istimewa administratif di vSphere. Saat Anda membuat cloud pribadi, VMware Engine juga membuat akun pengguna solusi dengan hak istimewa administratif yang dapat Anda gunakan dengan alat dan produk pihak ketiga.

Kepatuhan

Google Cloud tetap berkomitmen untuk terus memperluas cakupan kami terhadap standar kepatuhan yang paling penting. VMware Engine telah mendapatkan sertifikasi kepatuhan, antara lain, ISO/IEC 27001, 27017, 27018; PCI-DSS; SOC 1, SOC 2, dan SOC 3. Selain itu, Perjanjian Asosiasi Bisnis (BAA) Google Cloud juga mencakup VMware Engine.

Untuk mendapatkan bantuan terkait audit, hubungi perwakilan akun Anda untuk mendapatkan sertifikat ISO, laporan SOC, dan penilaian mandiri terbaru.

Langkah selanjutnya