Halaman ini diterjemahkan oleh Cloud Translation API.

Keamanan VMware Engine

Tanggung jawab bersama

Google Cloud VMware Engine memiliki model tanggung jawab bersama atas keamanan. Keamanan yang tepercaya di cloud dicapai melalui tanggung jawab bersama pelanggan dan Google sebagai penyedia layanan. Matriks tanggung jawab ini memberikan keamanan yang lebih tinggi dan menghilangkan titik tunggal kegagalan.

Hardware khusus

Sebagai bagian dari layanan VMware Engine, semua pelanggan mendapatkan host bare metal khusus dengan disk terpasang lokal yang secara fisik diisolasi dari hardware lainnya. Hypervisor ESXi dengan vSAN berjalan pada setiap node. Node tersebut dikelola melalui vCenter dan NSX VMware khusus pelanggan. Tidak berbagi hardware di antara tenant akan memberikan lapisan isolasi dan perlindungan keamanan tambahan.

Keamanan data

Pelanggan tetap memegang kontrol dan kepemilikan atas data mereka. Pengelolaan data pelanggan adalah tanggung jawab pelanggan.

Perlindungan data untuk data dalam penyimpanan dan data dalam pengiriman dalam jaringan internal

Data dalam penyimpanan di lingkungan cloud pribadi dapat dienkripsi menggunakan enkripsi berbasis software vSAN. Enkripsi vSAN mengandalkan Solusi Pengelolaan Kunci eksternal untuk menyimpan kunci enkripsi.

VMware Engine memungkinkan enkripsi data dalam penyimpanan vSAN secara default untuk setiap cloud pribadi baru yang di-deploy, dengan infrastruktur pengelolaan kunci yang dikelola oleh Google sebagai bagian dari layanan. Untuk mengetahui detail yang terkait dengan model enkripsi default, lihat Tentang enkripsi vSAN.

Jika KMS harus dikelola oleh pengguna, Anda dapat men-deploy infrastruktur pengelolaan kunci eksternal secara opsional dan mengonfigurasinya sebagai penyedia kunci di vCenter. Untuk mengetahui daftar penyedia KMS yang divalidasi, lihat Vendor yang didukung.

Untuk data dalam pengiriman, kami berharap aplikasi mengenkripsi komunikasi jaringannya dalam segmen jaringan internal. vSphere mendukung enkripsi data melalui kabel untuk traffic vMotion.

Perlindungan data untuk data yang diperlukan untuk berpindah melalui jaringan publik

Untuk melindungi data yang berpindah melalui jaringan publik, Anda dapat membuat tunnel VPN IPsec dan SSL untuk cloud pribadi. Metode enkripsi umum didukung, termasuk AES 128 byte dan 256 byte. Data dalam pengiriman (termasuk autentikasi, akses administratif, dan data pelanggan) dienkripsi dengan mekanisme enkripsi standar (SSH, TLS 1.2, dan RDP Aman). Komunikasi yang membawa informasi sensitif menggunakan mekanisme enkripsi standar.

Pembuangan yang aman

Jika layanan Anda berakhir atau dihentikan, Anda bertanggung jawab untuk menghapus atau menghapus data Anda. Google akan bekerja sama dengan Anda untuk menghapus atau mengembalikan semua data pelanggan sebagaimana ditentukan dalam perjanjian pelanggan, kecuali jika Google diwajibkan oleh hukum yang berlaku untuk menyimpan sebagian atau semua data pribadi tersebut. Jika diperlukan untuk menyimpan data pribadi, Google akan mengarsipkan data tersebut dan menerapkan tindakan yang wajar untuk mencegah data pelanggan diproses lebih lanjut.

Lokasi data

Data aplikasi Anda berada di region yang Anda pilih saat pembuatan cloud pribadi. Layanan tidak mengubah lokasi data itu sendiri tanpa pemicu atau tindakan pelanggan tertentu (misalnya, replikasi yang dikonfigurasi pengguna ke cloud pribadi di region Google Cloud yang berbeda). Namun, jika kasus penggunaan diperlukan, Anda dapat men-deploy workload di berbagai region serta mengonfigurasi replikasi dan migrasi data antar-region.

Pencadangan data

VMware Engine tidak mencadangkan atau mengarsipkan data aplikasi pelanggan yang berada dalam virtual machine VMware. VMware Engine mencadangkan konfigurasi vCenter dan NSX secara berkala. Sebelum dicadangkan, semua data dienkripsi di server pengelolaan sumber (misalnya, vCenter) menggunakan VMware API. Data cadangan terenkripsi dipindahkan dan disimpan di bucket Cloud Storage.

Keamanan jaringan

Google Cloud VMware Engine mengandalkan lapisan keamanan jaringan.

Keamanan edge

Layanan Google Cloud VMware Engine berjalan di dalam Google Cloud dengan keamanan jaringan dasar yang disediakan oleh Google Cloud. Hal ini berlaku untuk aplikasi VMware Engine serta lingkungan VMware khusus dan pribadi. Google Cloud memberikan perlindungan bawaan terhadap serangan distributed denial of service (DDoS). VMware Engine juga mengikuti strategi defense in depth untuk membantu mengamankan edge jaringan dengan mengimplementasikan kontrol keamanan seperti aturan firewall dan NAT.

Segmentation

VMware Engine memiliki jaringan Lapisan 2 yang secara logis terpisah, yang membatasi akses ke jaringan internal Anda sendiri di lingkungan cloud pribadi. Anda dapat melindungi jaringan cloud pribadi Anda lebih lanjut menggunakan firewall. Dengan konsol Google Cloud, Anda dapat menentukan aturan untuk kontrol traffic jaringan EW dan NS untuk semua traffic jaringan, termasuk traffic cloud intra-pribadi, traffic cloud antar-pribadi, traffic umum ke internet, dan traffic jaringan ke lingkungan lokal.

Kerentanan dan pengelolaan patch

Google bertanggung jawab atas patching keamanan berkala untuk software VMware terkelola (ESXi, vCenter, dan NSX).

Identity and Access Management

Anda dapat melakukan autentikasi ke Konsol Google Cloud dari Google Cloud menggunakan SSO. Anda memberikan akses kepada pengguna untuk mengakses Konsol Google Cloud menggunakan peran dan izin IAM.

Secara default, VMware Engine membuat akun pengguna untuk Anda di domain lokal cloud pribadi vCenter. Anda dapat menambahkan pengguna lokal baru atau mengonfigurasi vCenter untuk menggunakan sumber identitas yang ada. Untuk melakukannya, tambahkan sumber identitas lokal yang sudah ada atau sumber identitas baru dalam cloud pribadi.

Pengguna default memiliki hak istimewa yang memadai untuk melakukan operasi vCenter vCenter sehari-hari yang diperlukan dalam cloud pribadi, tetapi mereka tidak memiliki akses administrator penuh ke vCenter. Jika akses administrator diperlukan untuk sementara, Anda dapat meningkatkan hak istimewa untuk jangka waktu terbatas saat Anda menyelesaikan tugas administrator.

Beberapa produk dan alat pihak ketiga yang digunakan dengan cloud pribadi Anda mungkin mewajibkan pengguna untuk memiliki hak istimewa administratif di vSphere. Saat Anda membuat cloud pribadi, VMware Engine juga membuat akun pengguna solusi dengan hak istimewa administratif yang dapat Anda gunakan dengan produk dan alat pihak ketiga.

Kepatuhan

Google Cloud tetap berkomitmen untuk terus memperluas cakupan kami terhadap standar kepatuhan yang paling penting. VMware Engine telah mendapatkan sertifikasi kepatuhan ISO/IEC 27001, 27017, 27018; PCI-DSS; SOC 1, SOC 2, dan SOC 3 sertifikasi kepatuhan. Selain itu, Perjanjian Asosiasi Bisnis (BAA) Google Cloud juga mencakup VMware Engine.

Untuk mendapatkan bantuan terkait pengauditan, hubungi perwakilan akun Anda untuk mendapatkan sertifikat ISO, laporan SOC, dan penilaian mandiri terbaru.