Ce document décrit une architecture Google Cloud VMware Engine typique dansGoogle Cloud. Il liste également les bonnes pratiques de sécurité applicables aux charges de travail VMware Engine et décrit quand utiliser des services Google Cloud spécifiques.
Architecture
Le schéma suivant illustre les services Google Cloud dans une architecture VMware Engine typique.
Ce schéma comprend les éléments suivants :
Le service Backup and DR est un service géré qui permet de sauvegarder et de récupérer les charges de travail exécutées dans VMware Engine.
BigQuery fournit des fonctionnalités d'entreposage et d'analyse de données pour les données générées par les applications et les bases de données exécutées sur des VM VMware Engine.
Les journaux d'audit Cloud suivent les actions effectuées par vos utilisateurs dans votre environnement, ce qui améliore vos capacités de dépannage, d'audit et de réponse aux incidents.
Les tableaux de bord et les alertes Cloud Billing vous permettent d'examiner l'utilisation et la facturation des charges de travail VMware Engine.
Cloud Identity unifie l'identité, l'accès, les applications et la gestion pour Google Cloud.
Vous pouvez utiliser Cloud Load Balancing avec des groupes de points de terminaison du réseau (NEG) hybrides pour distribuer le trafic vers des applications exécutées sur des VM VMware Engine.
Cloud Storage stocke les données, y compris les données de sauvegarde, pour les VM et les charges de travail VMware Engine.
Compute Engine peut exécuter des applications avec lesquelles les charges de travail VMware Engine interagissent.
Cloud DNS enregistre, gère et diffuse votre domaine.
Google Cloud Armor fournit une protection contre les attaques DDoS et des fonctionnalités de pare-feu d'application Web (WAF) pour les applications Web hébergées dans VMware Engine et les applications exposées à l'aide de Cloud Load Balancing.
Google Kubernetes Engine vous permet d'exécuter des clusters Kubernetes sur votre infrastructure VMware dans VMware Engine.
Identity and Access Management (IAM) contrôle qui peut effectuer des actions spécifiques sur VMware Engine et les ressources, comme les créer, les modifier ou les supprimer.
Le service de règles d'administration gère et applique de manière centralisée les règles dans votre environnement Google Cloud. Les règles d'administration permettent d'assurer une configuration cohérente et la conformité en termes de sécurité pour les projets et les ressources de votre organisation.
Resource Manager vous aide à regrouper et à gérer les composants logiques de vos charges de travail VMware Engine.
Secret Manager vous aide à protéger les données sensibles et les identifiants utilisés dans les projets VMware Engine.
Security Command Center vous aide à protéger votre organisation cloud, vos charges de travail VMware et les données que vous stockez sur Google Cloud. Security Command Center fournit les éléments suivants :
- Gestion centralisée de la sécurité
- Détection des menaces et réponse aux incidents
- Évaluations de sécurité automatisées
- Conformité et rapports réglementaires
- Recommandations et bonnes pratiques concernant la sécurité
Le cloud privé virtuel (VPC) isole vos ressources d'Internet dans un environnement sécurisé. Cette configuration réseau permet de protéger les données sensibles et les charges de travail contre tout accès non autorisé et toute cyberattaque potentielle.
Cloud VPN ou Cloud Interconnect vous permettent d'établir une connexion réseau sécurisée entre votre infrastructure sur site et votre environnement VMware Engine. Cloud VPN ou Cloud Interconnect permettent de transférer des données et de communiquer de manière fluide entre votre réseau privé et les ressources Google Cloud.
Bonnes pratiques pour les charges de travail VMware Engine
Cette section fournit des liens vers les bonnes pratiques pour les charges de travail qui utilisent VMware Engine.
- Groupes d'utilisateurs et rôles IAM recommandés
Bonnes pratiques pour un socle d'entreprise sécurisé
Bonnes pratiques d'authentification et d'autorisation
- Désactiver l'attribution automatique de rôles IAM pour les comptes de service par défaut
- Bloquer la création de clés de compte de service externes
- Bloquer l'importation de clés de compte de service
- Configurer la séparation des tâches pour les administrateurs de règles d'administration
- Activer la validation en deux étapes pour les comptes super-administrateur
- Appliquer la validation en deux étapes à l'unité organisationnelle des super-administrateurs
- Créer une adresse e-mail exclusive pour le super-administrateur principal
- Créer des comptes administrateur redondants
- Implémenter des tags pour attribuer efficacement des stratégies IAM et des règles d'administration
- Auditer les modifications à haut risque apportées à IAM
- Bloquer l'accès à Cloud Shell pour les comptes utilisateur gérés Cloud Identity
- Configurer l'accès contextuel pour les consoles Google
- Bloquer l'autorécupération de compte pour les comptes super-administrateur
- Désactiver les services Google inutilisés
- Utiliser Privileged Access Manager
Bonnes pratiques d'organisation
Bonnes pratiques de mise en réseau
- Bloquer la création du réseau par défaut
- Activer les extensions de sécurité DNS
- Activer la restriction du champ d'application du service dans les règles d'accès Access Context Manager
- Restreindre les API dans les périmètres de service VPC Service Controls
- Utiliser un DNS zonal
- Activer l'accès privé à Google
- Activer l'accès aux services privés pour les producteurs de services
Bonnes pratiques de journalisation, de surveillance et d'alerte
- Partager les journaux d'audit de Cloud Identity
- Utiliser les journaux d'audit
- Activer l'audit de l'activité des administrateurs
- Activer les journaux de flux VPC
- Activer la journalisation des règles de pare-feu
- Activer les journaux d'audit des accès aux données
- Configurer des alertes de facturation
- Activer les journaux Access Transparency
Bonnes pratiques de gestion des clés et des secrets
- Chiffrer les données au repos dans Google Cloud
- Utiliser des algorithmes approuvés par le NIST pour le chiffrement et le déchiffrement
- Définir l'objectif des clés Cloud Key Management Service
- S'assurer que les paramètres CMEK sont adaptés aux entrepôts de données BigQuery sécurisés
- Alterner les clés de chiffrement tous les 90 jours
- Configurer la rotation automatique des secrets
- Restreindre l'emplacement des clés de chiffrement gérées par le client
- Utiliser des CMEK pour les services Google Cloud
- Répliquer automatiquement les secrets
Bonnes pratiques concernant la stratégie de sécurité et les données analytiques
Bonnes pratiques concernant l'infrastructure
Bonnes pratiques de calcul
- Définir les instances de VM pouvant activer le transfert IP
- Désactiver la virtualisation imbriquée des VM
- Limiter les adresses IP externes sur les VM
- Définir les adresses IP externes autorisées pour les instances de VM
- Exiger un connecteur VPC pour les fonctions Cloud Run
- Désactiver les adresses IP externes pour les jobs Dataflow
- Utiliser des tags réseau pour les règles de pare-feu
Bonnes pratiques pour VMware Engine
- Limiter l'attribution du rôle d'administrateur pour VMware Engine
- Utiliser le rôle Lecteur du service VMware Engine pour appliquer le principe du moindre privilège
- Utiliser RBAC et le moindre privilège pour les rôles vCenter Server Appliance
- Utiliser la fédération d'identité pour les utilisateurs VMware
- Attribuez des rôles à des groupes plutôt qu'à des utilisateurs pour vCenter Server Appliance.
- N'attribuez pas le rôle de propriétaire du cloud aux groupes d'utilisateurs dans vSphere.
- Éviter d'utiliser les comptes de service vCenter et NSX-T par défaut
- Alterner les mots de passe des comptes de service vCenter et NSX-T par défaut tous les 90 jours
- Utiliser le pare-feu de passerelle NSX pour segmenter le trafic nord-sud
- Utiliser le pare-feu distribué NSX pour segmenter le trafic est-ouest
- Créer des sous-réseaux distincts pour les charges de travail ayant des exigences de sécurité différentes
- Créer un récepteur de journaux pour stocker les journaux d'audit VMware Engine
- Collecter les journaux de plate-forme au niveau VMware
- Surveiller les applications à l'aide de Logging et Monitoring
- Créez des clouds privés dans des régions qui répondent à vos exigences de résidence des données.
- Mettre en œuvre une stratégie de sauvegarde et de reprise après sinistre
- Implémenter le chiffrement au niveau de l'application pour les charges de travail VMware
- Activer le chiffrement des données en transit sur les clusters VMware vSAN
- Configurer le chiffrement des données au repos vSAN pour utiliser CMEK
- Faire pivoter les clés utilisées pour le chiffrement des données au repos vSAN
Bonnes pratiques de gestion des données
Bonnes pratiques de stockage
- Bloquer l'accès public aux buckets Cloud Storage
- Utiliser l'accès uniforme au niveau du bucket
- Protéger les clés HMAC pour les comptes de service
- Détecter l'énumération des buckets Cloud Storage par les comptes de service
- Assurez-vous que la règle de conservation du bucket Cloud Storage utilise le verrou de bucket
- Définir des règles de cycle de vie pour l'action SetStorageClass
- Définir les régions autorisées pour les classes de stockage
- Activer la gestion du cycle de vie pour les buckets Cloud Storage
- Activer les règles de gestion du cycle de vie pour les buckets Cloud Storage
- Examiner et évaluer les obligations de conservation temporaires sur les objets actifs
- Appliquer des règles de conservation aux buckets Cloud Storage
- Appliquer des tags de classification aux buckets Cloud Storage
- Appliquer des buckets de journaux pour les buckets Cloud Storage
- Configurer des règles de suppression pour les buckets Cloud Storage
- Assurez-vous que la condition "isLive" est définie sur "False" pour les règles de suppression.
- Appliquer la gestion des versions pour les buckets Cloud Storage
- Appliquer des propriétaires pour les buckets Cloud Storage
- Activer la journalisation des activités clés de Cloud Storage