Questa pagina è stata tradotta dall'API Cloud Translation.

Sicurezza di VMware Engine

Responsabilità condivisa

Google Cloud VMware Engine ha un modello di responsabilità condivisa per la sicurezza. Una sicurezza affidabile nel cloud si ottiene attraverso le responsabilità condivise dei clienti e di Google come fornitore di servizi. Questa matrice di responsabilità offre una sicurezza maggiore ed elimina single point of failure.

Hardware dedicato

Come parte del servizio VMware Engine, tutti i clienti dispongono di host bare metal dedicati con dischi collegati locali che sono fisicamente isolati da altri hardware. Un hypervisor ESXi con vSAN viene eseguito su ogni nodo. I nodi sono gestiti tramite VMware vCenter e NSX dedicati al cliente. La mancata condivisione dell'hardware tra tenant fornisce un ulteriore livello di isolamento e sicurezza.

Protezione dei dati

I clienti mantengono il controllo e la proprietà dei propri dati. La gestione dei dati del cliente è responsabilità del cliente.

Protezione dei dati at-rest e in transito all'interno delle reti interne

I dati at-rest nell'ambiente cloud privato possono essere criptati utilizzando la crittografia basata su software vSAN. La crittografia vSAN si basa su soluzioni di gestione delle chiavi esterne per archiviare le chiavi di crittografia.

VMware Engine abilita per impostazione predefinita la crittografia dei dati at-rest di vSAN per tutti i nuovi cloud privati di cui è stato eseguito il deployment, con l'infrastruttura di gestione delle chiavi gestita da Google come parte del servizio. Per i dettagli relativi al modello di crittografia predefinito, consulta Informazioni sulla crittografia vSAN.

Se il KMS deve essere gestito dagli utenti, se vuoi puoi eseguire il deployment dell'infrastruttura di gestione delle chiavi esterna e configurarla come provider di chiavi in vCenter. Per un elenco dei provider KMS convalidati, vedi Fornitori supportati.

Per i dati in transito, prevediamo che le applicazioni criptano la comunicazione di rete all'interno dei segmenti di rete interni. vSphere supporta la crittografia dei dati over-the-wire per il traffico vMotion.

Protezione dei dati necessari per il trasferimento attraverso reti pubbliche

Per proteggere i dati che si spostano attraverso reti pubbliche, puoi creare tunnel IPsec e SSL VPN per i tuoi cloud privati. Sono supportati i metodi di crittografia più comuni, tra cui AES a 128 byte e 256 byte. I dati in transito (inclusi autenticazione, accesso amministrativo e dati dei clienti) sono criptati con meccanismi di crittografia standard (SSH, TLS 1.2 e Secure RDP). La comunicazione che trasporta informazioni sensibili utilizza i meccanismi di crittografia standard.

Smaltimento sicuro

Se il servizio scade o viene interrotto, l'utente è responsabile della rimozione o dell'eliminazione dei dati. Google collaborerà con l'utente per eliminare o restituire tutti i dati dei clienti come previsto nel contratto con il cliente, fatta eccezione per i casi in cui Google sia tenuta, ai sensi della legge vigente, a conservare alcuni o tutti i dati personali. Se necessario per conservare i dati personali, Google li archivierà e implementerà misure ragionevoli per impedire l'ulteriore trattamento dei dati del cliente.

Località dei dati

I dati dell'applicazione si trovano nella regione selezionata durante la creazione del cloud privato. Il servizio non modifica autonomamente la località dei dati senza un'azione o un trigger specifico del cliente (ad esempio, una replica configurata dall'utente su un cloud privato in un'altra regione Google Cloud). Tuttavia, se il tuo caso d'uso lo richiede, puoi eseguire il deployment dei carichi di lavoro in diverse regioni e configurare la replica e la migrazione dei dati tra regioni.

Backup dei dati

VMware Engine non esegue il backup né archivia i dati delle applicazioni del cliente che risiedono all'interno delle macchine virtuali VMware. VMware Engine esegue periodicamente il backup della configurazione di vCenter e NSX. Prima del backup, tutti i dati vengono criptati sul server di gestione dell'origine (ad esempio vCenter) tramite le API VMware. I dati di backup criptati vengono trasportati e archiviati nei bucket Cloud Storage.

Sicurezza della rete

Google Cloud VMware Engine si basa su livelli di sicurezza di rete.

Sicurezza perimetrale

Il servizio Google Cloud VMware Engine viene eseguito all'interno di Google Cloud secondo la sicurezza di rete di base fornita da Google Cloud. Questo vale sia per l'applicazione VMware Engine sia per l'ambiente VMware dedicato e privato. Google Cloud offre protezione integrata contro gli attacchi DDoS (Distributed Denial-of-Service). VMware Engine segue inoltre la strategia di difesa in profondità per contribuire a proteggere il perimetro della rete implementando controlli di sicurezza come regole firewall e NAT.

Segmentazione

VMware Engine ha reti di livello 2 logicamente separate che limitano l'accesso alle tue reti interne nell'ambiente cloud privato. Puoi proteggere ulteriormente le tue reti cloud privato utilizzando un firewall. La console Google Cloud consente di definire le regole per i controlli del traffico di rete EW e NS per tutto il traffico di rete, inclusi il traffico cloud intra-private, il traffico cloud inter-privato, il traffico generale verso internet e il traffico di rete verso l'ambiente on-premise.

Vulnerabilità e gestione delle patch

Google è responsabile dell'applicazione periodica di patch di sicurezza del software VMware gestito (ESXi, vCenter e NSX).

Identity and Access Management

Puoi eseguire l'autenticazione nella console Google Cloud da Google Cloud utilizzando SSO. Concedi agli utenti l'accesso alla console Google Cloud utilizzando ruoli e autorizzazioni IAM.

Per impostazione predefinita, VMware Engine crea un account utente per te nel dominio locale vCenter del cloud privato. Puoi aggiungere nuovi utenti locali o configurare vCenter in modo che utilizzi un'origine identità esistente. Per farlo, aggiungi un'origine identità on-premise esistente o una nuova origine identità all'interno del cloud privato.

L'utente predefinito dispone di privilegi sufficienti per eseguire le operazioni quotidiane di vCenter necessarie di vCenter all'interno del cloud privato, ma non ha accesso amministrativo completo a vCenter. Se l'accesso come amministratore è temporaneamente richiesto, puoi aumentare i tuoi privilegi per un periodo di tempo limitato mentre completi le attività di amministrazione.

Alcuni strumenti e prodotti di terze parti utilizzati con il tuo cloud privato potrebbero richiedere che un utente disponga di privilegi amministrativi in vSphere. Quando crei un cloud privato, VMware Engine crea anche account utente della soluzione con privilegi amministrativi che puoi utilizzare con gli strumenti e i prodotti di terze parti.

Conformità

Google Cloud continua a impegnarsi ad ampliare costantemente la propria copertura rispetto ai più importanti standard di conformità. VMware Engine ha ottenuto, tra le altre cose, le certificazioni di conformità ISO/IEC 27001, 27017, 27018; PCI-DSS; SOC 1, SOC 2 e SOC 3. Inoltre, il Contratto di società in affari (BAA) di Google Cloud copre anche VMware Engine.

Per assistenza con la verifica, contatta il rappresentante del tuo account per ottenere i certificati ISO, i report SOC e le autovalutazioni più recenti.