En este documento, se describe una arquitectura típica de Google Cloud VMware Engine enGoogle Cloud. También se enumeran las prácticas recomendadas de seguridad que se aplican a las cargas de trabajo de VMware Engine y se describe cuándo usarías servicios Google Cloud específicos.
Arquitectura
En el siguiente diagrama, se muestran los servicios de una arquitectura típica de VMware Engine. Google Cloud
En este diagrama, se incluye lo siguiente:
El servicio Backup and DR es un servicio administrado que proporciona copias de seguridad y recuperación de cargas de trabajo que se ejecutan en VMware Engine.
BigQuery proporciona capacidades de almacenamiento de datos y análisis para los datos que generan las aplicaciones y las bases de datos que se ejecutan en las VMs de VMware Engine.
Los registros de auditoría de Cloud supervisan las acciones que realizan los usuarios en tu entorno, lo que mejora tus capacidades de solución de problemas, auditoría y respuesta ante incidentes.
Los paneles y las alertas de Facturación de Cloud te permiten revisar el uso y la facturación de las cargas de trabajo de VMware Engine.
Cloud Identity unifica la identidad, el acceso, la aplicación y la administración para Google Cloud.
Cloud Load Balancing se puede usar con grupos de extremos de red (NEG) híbridos para distribuir el tráfico a las aplicaciones que se ejecutan en VMs de VMware Engine.
Cloud Storage almacena datos, incluidos los datos de copias de seguridad, para las VMs y las cargas de trabajo de VMware Engine.
Compute Engine puede ejecutar aplicaciones con las que interactúan las cargas de trabajo de VMware Engine.
Cloud DNS registra, administra y entrega tu dominio.
Google Cloud Armor proporciona protección contra DSD y capacidades de WAF para las aplicaciones web alojadas en VMware Engine y las aplicaciones que se exponen con Cloud Load Balancing.
Google Kubernetes Engine te permite ejecutar clústeres de Kubernetes en tu infraestructura de VMware dentro de VMware Engine.
Identity and Access Management (IAM) controla quién puede realizar acciones específicas en VMware Engine y sus recursos, como crearlos, editarlos o borrarlos.
El Servicio de políticas de la organización administra y aplica políticas de forma centralizada en tu entorno de Google Cloud. La política de la organización ayuda a garantizar la coherencia en la configuración y el cumplimiento de la seguridad en todos los proyectos y recursos de tu organización.
Resource Manager te ayuda a agrupar y administrar los componentes lógicos de tus cargas de trabajo de VMware Engine.
Secret Manager te ayuda a proteger los datos sensibles y las credenciales que se usan en los proyectos de VMware Engine.
Security Command Center te ayuda a proteger tu organización en la nube, tus cargas de trabajo de VMware y los datos que almacenas en Google Cloud. Security Command Center proporciona lo siguiente:
- Administración de seguridad centralizada
- Detección de amenazas y respuesta ante incidentes
- Evaluaciones de seguridad automatizadas
- Cumplimiento y generación de informes regulatorios
- Recomendaciones y prácticas recomendadas de seguridad
La nube privada virtual (VPC) aísla tus recursos de Internet en un entorno seguro. Esta configuración de red ayuda a proteger los datos sensibles y las cargas de trabajo del acceso no autorizado y los posibles ciberataques.
Cloud VPN o Cloud Interconnect te permiten establecer una conexión de red segura entre tu infraestructura local y tu entorno de VMware Engine. Cloud VPN o Cloud Interconnect ayudan a habilitar la transferencia y la comunicación de datos sin problemas entre tu red privada y los recursos de Google Cloud.
Prácticas recomendadas para las cargas de trabajo de VMware Engine
En esta sección, se proporcionan vínculos a las prácticas recomendadas para las cargas de trabajo que usan VMware Engine.
- Grupos de usuarios y roles de IAM recomendados
Prácticas recomendadas para una base empresarial segura
Prácticas recomendadas de autenticación y autorización
- Inhabilita el otorgamiento automático de IAM para las cuentas de servicio predeterminadas
- Bloquea la creación de claves externas de cuentas de servicio
- Bloquea las cargas de claves de cuentas de servicio
- Configura la separación de obligaciones para los administradores de políticas de la organización
- Habilita la verificación en dos pasos para las cuentas de administrador avanzado
- Aplica la verificación en dos pasos en la unidad organizativa del administrador avanzado
- Crea una dirección de correo electrónico exclusiva para el administrador avanzado principal
- Crea cuentas de administrador redundantes
- Implementa etiquetas para asignar de manera eficiente políticas de IAM y políticas de la organización
- Audita los cambios de alto riesgo en IAM
- Bloquea el acceso a Cloud Shell para las cuentas de usuario administradas por Cloud Identity
- Configura el Acceso adaptado al contexto para las consolas de Google
- Bloquea la recuperación automática de cuentas para las cuentas de administrador avanzado
- Desactiva los servicios de Google que no uses
- Cómo usar Privileged Access Manager
Prácticas recomendadas para la organización
Prácticas recomendadas para redes
- Bloquear la creación de redes predeterminadas
- Habilita las extensiones de seguridad de DNS
- Habilita la restricción del alcance del servicio en las políticas de acceso de Access Context Manager
- Restringe las APIs dentro de los perímetros de servicio de los Controles del servicio de VPC
- Usar DNS zonal
- Habilite el Acceso privado a Google
- Habilita el acceso privado a los servicios para los productores de servicios
Prácticas recomendadas para el registro, la supervisión y las alertas
- Comparte registros de auditoría de Cloud Identity
- Usa registros de auditoría
- Habilita la auditoría de la actividad del administrador
- Habilita los registros de flujo de VPC
- Habilitar el Registro de reglas de firewall
- Habilita los registros de auditoría de acceso a los datos
- Configura alertas de facturación
- Habilita los registros de Transparencia de acceso
Prácticas recomendadas para la administración de claves y secretos
- Encriptar datos en reposo en Google Cloud
- Usa algoritmos aprobados por el NIST para la encriptación y desencriptación
- Cómo establecer el propósito de las claves de Cloud Key Management Service
- Asegúrate de que la configuración de CMEK sea adecuada para los almacenes de datos de BigQuery seguros
- Rota la clave de encriptación cada 90 días
- Cómo configurar la rotación automática de secretos
- Restringe la ubicación de las claves de encriptación administradas por el cliente
- Usa CMEK para los servicios de Google Cloud
- Replicar secretos automáticamente
Prácticas recomendadas de seguridad y análisis
Prácticas recomendadas de infraestructura
Prácticas recomendadas de procesamiento
- Define instancias de VM que pueden habilitar el reenvío de IP
- Inhabilita la virtualización anidada de VM
- Restringe las direcciones IP externas en las VMs
- Define permitted external IP addresses for VM instances
- Exige un conector de VPC para las funciones de Cloud Run
- Desactiva las direcciones IP externas para los trabajos de Dataflow
- Usa etiquetas de red para las reglas de firewall
Prácticas recomendadas de VMware Engine
- Limita las asignaciones de roles de administrador para VMware Engine
- Usa el rol de visualizador de servicios de VMware Engine para aplicar el principio de privilegio mínimo
- Usa RBAC y el principio de privilegio mínimo para los roles del dispositivo de vCenter Server
- Usa la federación de identidades para usuarios de VMware
- Otorga roles a grupos en lugar de a personas para el dispositivo de vCenter Server
- No asignes el rol de propietario de Cloud a grupos de usuarios en vSphere
- Evita usar las cuentas de servicio predeterminadas de vCenter y NSX-T
- Rota las contraseñas de las cuentas de servicio predeterminadas de vCenter y NSX-T cada 90 días
- Usa el firewall de puerta de enlace de NSX para segmentar el tráfico de norte a sur
- Usa el firewall distribuido de NSX para segmentar el tráfico este-oeste
- Crea subredes independientes para cargas de trabajo con diferentes requisitos de seguridad
- Crea un receptor de registros para almacenar los registros de auditoría de VMware Engine
- Recopila registros de la plataforma a nivel de VMware
- Supervisa aplicaciones con Logging y Monitoring
- Crea nubes privadas en regiones que cumplan con tus requisitos de residencia de datos
- Implementa una estrategia de copia de seguridad y recuperación ante desastres
- Implementa la encriptación a nivel de la aplicación para las cargas de trabajo de VMware
- Habilita la encriptación de datos en tránsito en clústeres de VMware vSAN
- Configura la encriptación de datos en reposo de vSAN para usar CMEK
- Cómo rotar las claves que se usan para la encriptación de datos en reposo de vSAN
Prácticas recomendadas para la administración de datos
Prácticas recomendadas de almacenamiento
- Bloquea el acceso público a los buckets de Cloud Storage
- Usar el acceso uniforme a nivel de bucket
- Protege las claves HMAC de las cuentas de servicio
- Detecta la enumeración de buckets de Cloud Storage por cuentas de servicio
- Asegúrate de que la política de retención del bucket de Cloud Storage use el bloqueo del bucket
- Cómo establecer reglas de ciclo de vida para la acción SetStorageClass
- Cómo establecer regiones permitidas para las clases de almacenamiento
- Habilita la administración del ciclo de vida para los buckets de Cloud Storage
- Habilita las reglas de administración del ciclo de vida para los buckets de Cloud Storage
- Revisa y evalúa las conservaciones temporales en objetos activos
- Aplica políticas de retención en buckets de Cloud Storage
- Aplica etiquetas de clasificación para los buckets de Cloud Storage
- Aplica buckets de registros para los buckets de Cloud Storage
- Configura reglas de eliminación para buckets de Cloud Storage
- Asegúrate de que la condición isLive sea falsa para las reglas de eliminación
- Cómo aplicar el control de versiones para los buckets de Cloud Storage
- Cómo aplicar propietarios para los buckets de Cloud Storage
- Habilita el registro de las actividades clave de Cloud Storage