Best Practices für mehr Sicherheit in Google Cloud VMware Engine

In diesem Dokument wird eine typische Google Cloud VMware Engine-Architektur in Google Cloudbeschrieben. Außerdem werden die Best Practices für die Sicherheit aufgeführt, die für VMware Engine-Arbeitslasten gelten, und es wird beschrieben, wann Sie bestimmte Google Cloud Dienste verwenden sollten.

Architektur

Das folgende Diagramm zeigt die Google Cloud Dienste in einer typischen VMware Engine-Architektur.

Dieses Diagramm enthält Folgendes:

• Der Backup- und DR-Dienst ist ein verwalteter Dienst, der die Sicherung und Wiederherstellung von Arbeitslasten bietet, die in VMware Engine ausgeführt werden.

• BigQuery bietet Data-Warehousing- und Analysefunktionen für Daten, die von den Anwendungen und Datenbanken generiert werden, die auf VMware Engine-VMs ausgeführt werden.

• Cloud Audit Logs verfolgt die Aktionen, die Ihre Nutzer in Ihrer Umgebung ausführen. Dadurch werden Ihre Möglichkeiten zur Fehlerbehebung, Prüfung und Incident Response verbessert.

• Mit Cloud Billing-Dashboards und ‑Benachrichtigungen können Sie die Nutzung und Abrechnung von VMware Engine-Arbeitslasten prüfen.

• Cloud Identity vereinheitlicht Identität, Zugriff, Anwendung und Verwaltung für Google Cloud.

• Cloud Load Balancing kann mit Hybrid Network Endpoint Groups (NEGs) verwendet werden, um Traffic an Anwendungen zu verteilen, die auf VMware Engine-VMs ausgeführt werden.

• In Cloud Storage werden Daten, einschließlich Sicherungsdaten, für VMware Engine-VMs und ‑Arbeitslasten gespeichert.

• Compute Engine kann Anwendungen ausführen, mit denen VMware Engine-Arbeitslasten interagieren.

• Cloud DNS registriert, verwaltet und stellt Ihre Domain bereit.

• Google Cloud Armor bietet DDoS-Schutz und WAF-Funktionen für Webanwendungen, die in VMware Engine gehostet werden, und für Anwendungen, die mit Cloud Load Balancing bereitgestellt werden.

• Mit Google Kubernetes Engine können Sie Kubernetes-Cluster in Ihrer VMware-Infrastruktur in VMware Engine ausführen.

• Identity and Access Management (IAM) steuert, wer bestimmte Aktionen für VMware Engine und Ressourcen ausführen kann, z. B. das Erstellen, Bearbeiten oder Löschen.

• Mit dem Organisationsrichtliniendienst können Sie Richtlinien in Ihrer gesamten Google Cloud Umgebung zentral verwalten und erzwingen. Organisationsrichtlinien tragen dazu bei, eine konsistente Konfiguration und Einhaltung der Sicherheitsstandards in allen Projekten und Ressourcen Ihrer Organisation zu gewährleisten.

• Mit dem Resource Manager können Sie logische Komponenten Ihrer VMware Engine-Arbeitslasten gruppieren und verwalten.

• Secret Manager hilft Ihnen, die sensiblen Daten und Anmeldedaten zu schützen, die in VMware Engine-Projekten verwendet werden.

• Security Command Center hilft Ihnen, Ihre Cloud-Organisation, Ihre VMware-Arbeitslasten und die Daten zu schützen, die Sie auf speichern Google Cloud. Security Command Center bietet Folgendes:

  • Zentrale Sicherheitsverwaltung
  • Bedrohungserkennung und Incident Response
  • Automatisierte Sicherheitsbewertungen
  • Compliance- und behördliches Berichtswesen
  • Sicherheitsempfehlungen und Best Practices

• Mit Virtual Private Cloud (VPC) können Sie Ihre Ressourcen in einer sicheren Umgebung von Internet isolieren. Diese Netzwerkkonfiguration trägt dazu bei, sensible Daten und Arbeitslasten vor unbefugtem Zugriff und potenziellen Cyberangriffen zu schützen.

• Cloud VPN oder Cloud Interconnect ermöglicht Ihnen den Aufbau einer sicheren Netzwerkverbindung zwischen Ihrer lokalen Infrastruktur und Ihrer VMware Engine-Umgebung. Cloud VPN oder Cloud Interconnect ermöglicht eine nahtlose Daten übertragung und Kommunikation zwischen Ihrem privaten Netzwerk und Google Cloud Ihren Ressourcen.

Best Practices für VMware Engine-Arbeitslasten

In diesem Abschnitt finden Sie Links zu den Best Practices für Arbeitslasten, die VMware Engine verwenden.

• Empfohlene Nutzergruppen und IAM-Rollen

• Best Practices für eine sichere Unternehmensbasis

  • Best Practices für Authentifizierung und Autorisierung

    • Automatische IAM-Zuweisungen für Standarddienstkonten deaktivieren
    • Erstellung externer Dienstkontoschlüssel blockieren
    • Uploads von Dienstkontoschlüsseln blockieren
    • Aufgabentrennung für Administratoren von Organisationsrichtlinien konfigurieren
    • Bestätigung in zwei Schritten für Super Admin-Konten aktivieren
    • Bestätigung in zwei Schritten für die Organisationseinheit „Super Admin“ erzwingen
    • Exklusive E‑Mail-Adresse für den primären Super Admin erstellen
    • Redundante Administratorkonten erstellen
    • Tags implementieren, um IAM- und Organisationsrichtlinien effizient zuzuweisen
    • Prüfung von Änderungen mit hohem Risiko an IAM
    • Zugriff auf Cloud Shell für verwaltete Cloud Identity-Nutzerkonten blockieren
    • Kontextsensitiven Zugriff für Google-Konsolen konfigurieren
    • Kontowiederherstellung für Super Admin-Konten blockieren
    • Nicht verwendete Google-Dienste deaktivieren
    • Privileged Access Manager verwenden

  • Best Practices für Organisationen

    • Unterstützte TLS-Versionen für Google APIs einschränken
    • Autorisierte Principals einschränken
    • Nutzung von Ressourcendiensten einschränken
    • Ressourcenstandorte einschränken

  • Best Practices für Netzwerke

    • Erstellung von Standardnetzwerken blockieren
    • DNS-Sicherheitserweiterungen aktivieren
    • Einschränkung des Dienstbereichs in Access Context Manager-Zugriffsrichtlinien aktivieren
    • APIs innerhalb von Dienstperimetern von VPC Service Controls einschränken
    • Zonales DNS verwenden
    • Privaten Google-Zugriff aktivieren
    • Zugriff auf private Dienste für Dienstanbieter aktivieren

  • Best Practices für Logging, Monitoring und Benachrichtigungen

    • Audit-Logs aus Cloud Identity freigeben
    • Audit-Logs verwenden
    • Prüfung von Administratoraktivitäten aktivieren
    • VPC-Flusslogs aktivieren
    • Firewallregel-Logging aktivieren
    • Audit-Logs zum Datenzugriff aktivieren
    • Abrechnungsbenachrichtigungen konfigurieren
    • Access Transparency-Logs aktivieren

  • Best Practices für die Schlüssel- und Secret-Verwaltung

    • Daten im Ruhezustand in verschlüsseln Google Cloud
    • Von NIST genehmigte Algorithmen für die Verschlüsselung und Entschlüsselung verwenden
    • Zweck für Cloud Key Management Service-Schlüssel festlegen
    • Sicherstellen, dass die CMEK-Einstellungen für sichere BigQuery-Data-Warehouses geeignet sind
    • Verschlüsselungsschlüssel alle 90 Tage rotieren
    • Automatische Secret-Rotation einrichten
    • Standort von kundenverwalteten Verschlüsselungsschlüsseln einschränken
    • CMEK für Google Cloud Dienste verwenden
    • Secrets automatisch replizieren

  • Best Practices für Sicherheitsstatus und ‑analysen

    • Security Command Center auf Organisationsebene aktivieren
    • Benachrichtigungen von Security Command Center konfigurieren

• Best Practices für die Infrastruktur

  • Best Practices für Compute

    • VM-Instanzen definieren, an denen die IP-Weiterleitung aktiviert werden kann
    • Verschachtelte Virtualisierung für VMs deaktivieren
    • Externe IP-Adressen auf VMs einschränken
    • Zulässige externe IP-Adressen für VM-Instanzen definieren
    • VPC-Connector für Cloud Run-Funktionen erforderlich machen
    • Externe IP-Adressen für Dataflow-Jobs deaktivieren
    • Netzwerktags für Firewallregeln verwenden

  • Best Practices für VMware Engine

    • Zuweisungen der Administratorrolle für VMware Engine einschränken
    • Rolle „VMware Engine-Dienstbetrachter“ für geringste Berechtigung verwenden
    • RBAC und geringste Berechtigung für vCenter Server Appliance-Rollen verwenden
    • Identitätsföderation für VMware-Nutzer verwenden
    • Rollen für vCenter Server Appliance Gruppen statt Einzelpersonen zuweisen
    • Die Rolle „Cloud-Inhaber“ nicht Nutzergruppen in vSphere zuweisen
    • Standarddienstkonten für vCenter und NSX-T nicht verwenden
    • Passwörter für Standarddienstkonten für vCenter und NSX-T alle 90 Tage rotieren
    • NSX Gateway Firewall verwenden, um den Nord-Süd-Traffic zu segmentieren
    • NSX Distributed Firewall verwenden, um den Ost-West-Traffic zu segmentieren
    • Separate Subnetze für Arbeitslasten mit unterschiedlichen Sicherheitsanforderungen erstellen
    • Log-Senke zum Speichern von VMware Engine-Audit-Logs erstellen
    • Plattformlogs auf VMware-Ebene erfassen
    • Anwendungen mit Logging und Monitoring überwachen
    • Private Clouds in Regionen erstellen, die Ihren Anforderungen an den Datenstandort entsprechen
    • Strategie für Sicherung und Notfallwiederherstellung implementieren
    • Verschlüsselung auf Anwendungsebene für VMware-Arbeitslasten implementieren
    • Verschlüsselung von Daten während der Übertragung in VMware vSAN-Clustern aktivieren
    • VSAN-Verschlüsselung inaktiver Daten für die Verwendung von CMEK konfigurieren
    • Schlüssel für die VSAN-Verschlüsselung inaktiver Daten rotieren

• Best Practices für das Datenmanagement

  • Best Practices für Speicher

    • Öffentlichen Zugriff auf Cloud Storage-Buckets blockieren
    • Einheitlichen Zugriff auf Bucket-Ebene verwenden
    • HMAC-Schlüssel für Dienstkonten schützen
    • Aufzählung von Cloud Storage-Buckets durch Dienstkonten erkennen
    • Sicherstellen, dass die Aufbewahrungsrichtlinie für Cloud Storage-Bucket die Bucket-Sperre verwendet
    • Lebenszyklusregeln für die Aktion „SetStorageClass“ festlegen
    • Zulässige Regionen für Speicherklassen festlegen
    • Lebenszyklusverwaltung für Cloud Storage-Buckets aktivieren
    • Lebenszyklusverwaltungsregeln für Cloud Storage-Buckets aktivieren
    • Temporäre Sperren für aktive Objekte prüfen und bewerten
    • Aufbewahrungsrichtlinien für Cloud Storage-Buckets erzwingen
    • Klassifizierungstags für Cloud Storage-Buckets erzwingen
    • Log-Buckets für Cloud Storage-Buckets erzwingen
    • Löschregeln für Cloud Storage-Buckets konfigurieren
    • Sicherstellen, dass die Bedingung „isLive“ für Löschregeln „False“ ist
    • Versionierung für Cloud Storage-Buckets erzwingen
    • Inhaber für Cloud Storage-Buckets erzwingen
    • Logging wichtiger Cloud Storage-Aktivitäten aktivieren

Nächste Schritte

• VMware Engine

• Zu einer Google Cloud VMware Engine-Plattform migrieren.