Panoramica sulla sicurezza di VMware Engine

Questa pagina descrive le funzionalità di sicurezza utilizzate da VMware Engine per contribuire a mantenere al sicuro i tuoi dati e il tuo ambiente. Per un elenco dettagliato delle responsabilità del cliente e di Google, consulta il modello di responsabilità condivisa di VMware Engine.

Hardware dedicato

Nell'ambito del servizio VMware Engine, tutti i clienti hanno a disposizione host bare metal con dischi collegati locali che sono fisicamente isolati altro hardware. Su ogni nodo viene eseguito un hypervisor ESXi con vSAN. I nodi vengono gestiti tramite VMware vCenter e NSX dedicati al cliente. La mancata condivisione dell'hardware tra gli utenti fornisce un ulteriore livello di isolamento e protezione della sicurezza.

Sicurezza dei dati

I clienti mantengono il controllo e la proprietà dei propri dati. Gestione dei dati dei clienti è responsabilità del cliente.

Protezione dei dati at-rest e in transito all'interno delle reti interne

I dati at-rest nell'ambiente cloud privato possono essere criptati utilizzando vSAN la crittografia basata su software. La crittografia vSAN si basa su una gestione delle chiavi esterna Soluzioni per archiviare le chiavi di crittografia.

VMware Engine abilita la crittografia at-rest dei dati vSAN per impostazione predefinita nuovi cloud privati distribuiti, con l'infrastruttura di gestione delle chiavi gestita Google come parte del servizio. Per dettagli relativi alla crittografia predefinita consulta Informazioni sulla crittografia vSAN.

Se il KMS deve essere gestito dagli utenti, puoi eventualmente implementare l'infrastruttura di gestione delle chiavi esterna e configurarla come fornitore di chiavi in vCenter. Per un di provider KMS convalidati, consulta Fornitori supportati.

Per i dati in transito, ci aspettiamo che le applicazioni criptino la loro rete la comunicazione all'interno di segmenti di rete interni. vSphere supporta la crittografia di i dati in cavo per il traffico di vMotion.

Protezione dei dati necessari per muoversi attraverso le reti pubbliche

Per proteggere i dati che si spostano attraverso le reti pubbliche, puoi creare IPsec e SSL Tunnel VPN per i cloud privati. Sono supportati metodi di crittografia comuni, tra cui AES a 128 e 256 byte. I dati in transito (tra cui autenticazione, accesso amministrativo e dati dei clienti) è criptato con la crittografia standard (SSH, TLS 1.2 e Secure RDP). Le comunicazioni che trasportano informazioni sensibili utilizzano i meccanismi di crittografia standard.

Smaltimento sicuro

Se il servizio scade o viene interrotto, sei responsabile della rimozione o dell'eliminazione dei tuoi dati. Google collaborerà con te per eliminare o restituire tutti i dati del cliente come previsto dal contratto con il cliente, tranne nei casi in cui la legge vigente richieda a Google di conservare alcuni o tutti i dati personali. Se necessario conservare i dati personali, Google li archivierà e implementera misure ragionevoli per impedire qualsiasi ulteriore trattamento dei dati del cliente.

Località dei dati

I dati della tua applicazione si trovano nella regione selezionata durante la e la creazione nel cloud. Il servizio non modifica autonomamente la posizione dei dati senza un'azione o un attivatore specifico del cliente (ad esempio, la replica configurata dall'utente a un cloud privato in un'altra regione Google Cloud). Tuttavia, se richieste dal tuo caso d'uso, puoi eseguire il deployment dei carichi di lavoro in più regioni e configurare la replica e la migrazione dei dati tra regioni.

Backup dei dati

VMware Engine non esegue il backup né l'archiviazione dei dati delle applicazioni del cliente che risiede all'interno delle macchine virtuali VMware. VMware Engine esegue periodicamente il backup della configurazione di vCenter e NSX. Prima del backup, tutti i dati è criptato sul server di gestione di origine (ad esempio, vCenter) tramite VMware su quelle di livello inferiore. I dati di backup criptati vengono trasportati e archiviati in Cloud Storage bucket.

Sicurezza della rete

Google Cloud VMware Engine si basa su livelli di sicurezza di rete.

Sicurezza perimetrale

Il servizio Google Cloud VMware Engine viene eseguito in Google Cloud in base alla sicurezza di rete di base fornita da Google Cloud. Questo vale sia per l'applicazione VMware Engine sia per l'ambiente VMware dedicato e privato. Google Cloud offre protezione integrata degli attacchi DDoS (Distributed Denial-of-Service). e VMware Engine segue la strategia di difesa in profondità per contribuire a proteggere il perimetro della rete l'implementazione di controlli di sicurezza come regole firewall e NAT.

Segmentazione

VMware Engine ha reti di livello 2 logicamente separate che limitano l'accesso alle tue reti interne nell'ambiente cloud privato. Puoi difendere ulteriormente le tue reti cloud private utilizzando un firewall. La console Google Cloud consente di definire regole per i controlli del traffico di rete EW e NS per tutto il traffico di rete, tra cui il traffico all'interno del cloud privato, il traffico tra cloud privati, il traffico generale su internet e il traffico di rete verso l'ambiente on-premise.

Gestione delle vulnerabilità e delle patch

Google è responsabile dell'applicazione periodica di patch di sicurezza del software VMware gestito (ESXi, vCenter e NSX).

Identity and Access Management

Puoi autenticarti alla console Google Cloud da Google Cloud utilizzando l'SSO. Concedi agli utenti l'accesso alla console Google Cloud utilizzando ruoli e autorizzazioni IAM.

Per impostazione predefinita, VMware Engine crea un account utente nel dominio locale di vCenter del cloud privato. Puoi aggiungere nuovi utenti locali o configurare vCenter in modo che utilizzi un'origine identità esistente. Per farlo, aggiungi un'origine identità on-premise esistente o una nuova origine identità all'interno e cloud privato.

L'utente predefinito dispone di privilegi sufficienti per eseguire le attività quotidiane le operazioni di vCenter all'interno del cloud privato, ma non con accesso amministrativo completo a vCenter. Se è necessario temporaneamente un accesso amministrativo, puoi elevare i tuoi privilegi per un periodo di tempo limitato mentre completi le attività di amministrazione.

Alcuni strumenti e prodotti di terze parti utilizzati con il tuo cloud privato potrebbero richiedere all'utente di disporre di privilegi amministrativi in vSphere. Quando crei un'immagine nel cloud, VMware Engine crea anche account utente della soluzione con ruoli amministrativi che puoi utilizzare con gli strumenti e i prodotti di terze parti.

Conformità

Google Cloud continua a impegnarsi a espandere continuamente la sua copertura contro i più importanti standard di conformità. VMware Engine ha raggiunto ISO/IEC 27001, 27017, 27018; PCI-DSS; SOC 1, SOC 2 e SOC 3 certificazioni di conformità, tra le altre. Inoltre, Google Cloud Business Il Contratto di società (BAA, Associate Agreement) copre anche VMware Engine.

Per assistenza con il controllo, contatta il rappresentante del tuo account per sapere Certificati ISO, report SOC e autovalutazioni.

Passaggi successivi