Diese Seite wurde von der Cloud Translation API übersetzt.

VMware Engine-Sicherheit

Geteilte Verantwortung

Google Cloud VMware Engine hat ein Modell der geteilten Verantwortung für die Sicherheit. Vertrauenswürdige Sicherheit in der Cloud wird durch die gemeinsamen Verantwortlichkeiten von Kunden und Google als Dienstanbieter erzielt. Diese Verantwortlichkeit erhöht die Sicherheit und vermeidet Single Points of Failure.

Dedizierte Hardware

Als Teil des VMware Engine-Dienstes erhalten alle Kunden dedizierte Bare-Metal-Hosts mit lokalen angehängten Laufwerken, die von anderer Hardware isoliert sind. Ein ESXi-Hypervisor mit vSAN wird auf jedem Knoten ausgeführt. Die Knoten werden über kundenspezifische VMware vCenter und NSX verwaltet. Wenn Sie keine Hardware zwischen Mandanten freigeben, erhalten Sie eine zusätzliche Isolationsschicht sowie einen Schutz.

Datensicherheit

Kunden behalten die Kontrolle über ihre Daten. Die Verantwortung für Kundendaten ist für den Kunden verantwortlich.

Datenschutz für inaktive Daten und für die Übertragung innerhalb interner Netzwerke

Inaktive Daten in der privaten Cloud-Umgebung können mit der vSAN-Softwareverschlüsselung verschlüsselt werden. Die vSAN-Verschlüsselung nutzt externe Schlüsselverwaltungslösungen zum Speichern von Verschlüsselungsschlüsseln.

VMware Engine ermöglicht standardmäßig die Verschlüsselung inaktiver vSAN-Daten für alle neu bereitgestellten privaten Clouds. Dabei wird die Schlüsselverwaltungsinfrastruktur von Google als Teil des Dienstes verwaltet. Weitere Informationen zum Standardverschlüsselungsmodell finden Sie unter Informationen zur vSAN-Verschlüsselung.

Wenn der KMS von Nutzern verwaltet werden muss, können Sie optional eine externe Schlüsselverwaltungsinfrastruktur bereitstellen und als Schlüsselanbieter in vCenter konfigurieren. Eine Liste der validierten KMS-Anbieter finden Sie unter Unterstützte Anbieter.

Bei der Übertragung von Daten erwarten wir, dass Anwendungen ihre Netzwerkkommunikation innerhalb interner Netzwerksegmente verschlüsseln. vSphere unterstützt die Verschlüsselung von Daten über die Leitung für vMotion-Traffic.

Datenschutz für Daten, die durch öffentliche Netzwerke geleitet werden müssen

Zum Schutz von Daten, die über öffentliche Netzwerke übertragen werden, können Sie IPsec- und SSL-VPN-Tunnel für Ihre privaten Clouds erstellen. Es werden gängige Verschlüsselungsmethoden unterstützt, einschließlich 128-Byte und 256-Byte-AES. Bei der Übertragung werden Daten, einschließlich Authentifizierung, Administratorzugriff und Kundendaten, mit standardmäßigen Verschlüsselungsverfahren (SSH, TLS 1.2 und Secure RDP) verschlüsselt. Zur Übertragung von vertraulichen Informationen werden die Standardverschlüsselungsmechanismen verwendet.

Sichere Beseitigung

Wenn Ihr Dienst abläuft oder gekündigt wird, sind Sie dafür verantwortlich, Ihre Daten zu entfernen oder zu löschen. Google arbeitet mit Ihnen zusammen, um Kundendaten gemäß der Kundenvereinbarung zu löschen oder zurückzugeben, es sei denn, Google ist gesetzlich dazu verpflichtet, einige oder alle personenbezogenen Daten aufzubewahren. Falls erforderlich, werden die Daten von Google archiviert und es werden angemessene Maßnahmen ergriffen, um die weitere Verarbeitung von Kundendaten zu verhindern.

Speicherort der Daten

Die Anwendungsdaten befinden sich in der Region, die Sie bei der Erstellung der privaten Cloud ausgewählt haben. Der Dienst ändert den Standort der Daten nicht, ohne dass eine bestimmte Kundenaktion oder Trigger erforderlich ist (z. B. vom Nutzer konfigurierte Replikation in eine private Cloud in einer anderen Google Cloud-Region). Wenn Ihr Anwendungsfall jedoch erfordert, können Sie Ihre Arbeitslasten regionenübergreifend bereitstellen sowie die Replikation und die Datenmigration zwischen Regionen konfigurieren.

Datensicherungen

VMware Engine sichert oder archiviert keine Anwendungsdaten von Kunden, die sich in virtuellen VMware-Maschinen befinden. VMware Engine sichert regelmäßig die vCenter- und NSX-Konfiguration. Vor der Sicherung werden alle Daten auf dem Quellverwaltungsserver (z. B. vCenter) mit VMware-APIs verschlüsselt. Die verschlüsselten Sicherungsdaten werden in Cloud Storage-Buckets übertragen und gespeichert.

Netzwerksicherheit

Google Cloud VMware Engine basiert auf Netzwerksicherheitsebenen.

Edge-Sicherheit

Der Google Cloud VMware Engine-Dienst wird in Google Cloud gemäß der grundlegenden Netzwerksicherheit von Google Cloud ausgeführt. Dies gilt sowohl für die VMware-Anwendung als auch für die dedizierte und private VMware-Umgebung. Google Cloud bietet integrierten Schutz vor DDoS-Angriffen (Distributed Denial-of-Service). VMware Engine folgt der Strategie der gestaffelten Sicherheitsebenen, um das Edge-Netzwerk zu schützen und dabei Sicherheitskontrollen wie Firewallregeln und NAT implementiert.

Segmentierung

VMware Engine hat logisch logische Layer-2-Netzwerke, die den Zugriff auf Ihre eigenen internen Netzwerke in Ihrer privaten Cloud-Umgebung einschränken. Mit einer Firewall können Sie Ihre privaten Cloud-Netzwerke zusätzlich schützen. In der Google Cloud Console können Sie Regeln für die EW- und NS-Netzwerk-Traffic-Steuerung für den gesamten Netzwerktraffic definieren, einschließlich Traffic innerhalb privater und privater Clouds, des allgemeinen Traffics zum Internet und Netzwerk-Traffic zur lokalen Umgebung.

Sicherheitslücken und Patchverwaltung

Google ist für regelmäßige Sicherheitspatches der verwalteten VMware-Software (ESXi, vCenter und NSX) verantwortlich.

Identity and Access Management

Sie können sich über Google Cloud mit SSO bei der Google Cloud Console authentifizieren. Sie gewähren Nutzern mithilfe von IAM-Rollen und -Berechtigungen Zugriff auf die Google Cloud Console.

In der Standardeinstellung erstellt VMware Engine ein Nutzerkonto für Sie in der lokalen vCenter-Domain der privaten Cloud. Sie können neue lokale Nutzer hinzufügen oder vCenter für eine vorhandene Identitätsquelle konfigurieren. Fügen Sie dazu entweder eine vorhandene lokale Identitätsquelle oder eine neue Identitätsquelle in der privaten Cloud hinzu.

Der Standardnutzer hat ausreichende Berechtigungen, um die erforderlichen täglichen vCenter-Vorgänge in der privaten Cloud auszuführen. Er hat jedoch keinen vollständigen Administratorzugriff auf vCenter. Wenn ein Administratorzugriff vorübergehend erforderlich ist, können Sie Ihre Berechtigungen für einen begrenzten Zeitraum während der Durchführung der Administratoraufgaben erhöhen.

Einige Drittanbieter-Tools und -Produkte, die mit Ihrer privaten Cloud verwendet werden, erfordern unter Umständen einen Nutzer mit Administratorberechtigungen in vSphere. Wenn Sie eine private Cloud erstellen, erstellt VMware Engine auch Lösungsnutzerkonten mit Administratorberechtigungen, die Sie mit den Tools und Produkten von Drittanbietern verwenden können.

Compliance

Google Cloud ist weiterhin bestrebt, seine Abdeckung gemäß den wichtigsten Compliance-Standards kontinuierlich zu erweitern. VMware Engine hat unter anderem die Compliance-Zertifizierungen ISO/IEC 27001, 27017, 27018, PCI-DSS, SOC 1, SOC 2 und SOC 3 erhalten. Darüber hinaus deckt die Google Cloud Business Associatee Agreement (BAA) auch die VMware Engine ab.

Um Unterstützung bei der Prüfung zu erhalten, wenden Sie sich an Ihren Kundenbetreuer, um die neuesten ISO-Zertifikate, SOC-Berichte und Selbsteinschätzungen zu erhalten.