Praktik terbaik keamanan Google Cloud VMware Engine

Dokumen ini menjelaskan arsitektur Google Cloud VMware Engine standar di Google Cloud. Dokumen ini juga mencantumkan praktik terbaik keamanan yang berlaku untuk workload VMware Engine dan menjelaskan kapan Anda akan menggunakan layanan tertentu. Google Cloud

Arsitektur

Diagram berikut menunjukkan layanan dalam arsitektur VMware Engine standar. Google Cloud

Diagram ini mencakup hal berikut:

• Backup and DR Service adalah layanan terkelola yang menyediakan pencadangan dan pemulihan workload yang berjalan di VMware Engine.

• BigQuery menyediakan kemampuan data warehousing dan analisis untuk data yang dihasilkan oleh aplikasi dan database yang berjalan di VM VMware Engine.

• Cloud Audit Logs melacak tindakan yang dilakukan pengguna di lingkungan Anda, yang meningkatkan kemampuan pemecahan masalah, audit, dan respons insiden.

• Penagihan Cloud dasbor dan pemberitahuan memungkinkan Anda meninjau penggunaan dan penagihan workload VMware Engine.

• Cloud Identity menyatukan identitas, akses, aplikasi, dan pengelolaan untuk Google Cloud.

• Cloud Load Balancing dapat digunakan dengan Hybrid Network Endpoint Groups (NEGs) untuk mendistribusikan traffic ke aplikasi yang berjalan di VM VMware Engine.

• Cloud Storage menyimpan data, termasuk data cadangan, untuk VM dan workload VMware Engine.

• Compute Engine dapat menjalankan aplikasi yang berinteraksi dengan workload VMware Engine.

• Cloud DNS mendaftarkan, mengelola, dan melayani domain Anda.

• Google Cloud Armor menyediakan perlindungan DDoS dan kemampuan WAF untuk aplikasi web yang dihosting di VMware Engine dan aplikasi yang diekspos menggunakan Cloud Load Balancing.

• Google Kubernetes Engine memungkinkan Anda menjalankan cluster Kubernetes di infrastruktur VMware dalam VMware Engine.

• Identity and Access Management (IAM) mengontrol siapa yang dapat melakukan tindakan tertentu pada VMware Engine dan resource, seperti membuat, mengedit, atau menghapusnya.

• Layanan Kebijakan Organisasi mengelola dan menerapkan kebijakan secara terpusat di seluruh Google Cloud lingkungan Anda. Kebijakan Organisasi membantu memastikan konfigurasi dan kepatuhan keamanan yang konsisten di seluruh project dan resource dalam organisasi Anda.

• Resource Manager membantu Anda mengelompokkan dan mengelola komponen logis workload VMware Engine.

• Secret Manager membantu Anda melindungi data sensitif dan kredensial yang digunakan dalam project VMware Engine.

• Security Command Center membantu Anda melindungi organisasi cloud, workload VMware, dan data yang Anda simpan di Google Cloud. Security Command Center menyediakan hal berikut:

  • Pengelolaan keamanan terpusat
  • Deteksi ancaman dan respons insiden
  • Penilaian keamanan otomatis
  • Pelaporan kepatuhan dan pelaporan kepada regulator
  • Rekomendasi dan praktik terbaik keamanan

• Virtual Private Cloud (VPC) mengisolasi resource Anda dari internet di lingkungan yang aman. Konfigurasi jaringan ini membantu melindungi data sensitif dan beban kerja dari akses tidak sah dan potensi serangan siber.

• Cloud VPN atau Cloud Interconnect memungkinkan Anda membuat koneksi jaringan yang aman antara infrastruktur lokal dan lingkungan VMware Engine. Cloud VPN atau Cloud Interconnect membantu mengaktifkan transfer data dan komunikasi yang lancar antara jaringan pribadi Anda dan Google Cloud resource.

Praktik terbaik untuk workload VMware Engine

Bagian ini menyediakan link ke praktik terbaik untuk workload yang menggunakan VMware Engine.

• Grup pengguna dan peran IAM yang direkomendasikan

• Praktik terbaik fondasi perusahaan yang aman

  • Praktik terbaik autentikasi dan otorisasi

    • Menonaktifkan pemberian IAM otomatis untuk akun layanan default
    • Memblokir pembuatan kunci akun layanan eksternal
    • Memblokir upload kunci akun layanan
    • Mengonfigurasi pemisahan tugas untuk administrator kebijakan organisasi
    • Mengaktifkan verifikasi dua langkah untuk akun admin super
    • Menerapkan verifikasi dua langkah pada unit organisasi admin super
    • Membuat alamat email eksklusif untuk admin super utama
    • Membuat akun administrator redundan
    • Menerapkan tag untuk menetapkan kebijakan IAM dan kebijakan organisasi secara efisien
    • Mengaudit perubahan IAM yang berisiko tinggi
    • Memblokir akses ke Cloud Shell untuk akun pengguna terkelola Cloud Identity
    • Mengonfigurasi Akses Kontekstual untuk konsol Google
    • Memblokir pemulihan mandiri akun untuk akun admin super
    • Menonaktifkan layanan Google yang tidak digunakan
    • Menggunakan Privileged Access Manager

  • Praktik terbaik organisasi

    • Membatasi versi TLS yang didukung oleh Google API
    • Membatasi principal yang diizinkan
    • Membatasi penggunaan layanan resource
    • Membatasi lokasi resource

  • Praktik terbaik jaringan

    • Memblokir pembuatan jaringan default
    • Mengaktifkan DNS Security Extensions
    • Mengaktifkan pembatasan cakupan layanan dalam kebijakan akses Access Context Manager
    • Membatasi API dalam perimeter layanan Kontrol Layanan VPC
    • Menggunakan DNS zonal
    • Mengaktifkan Akses Google Pribadi
    • Mengaktifkan akses layanan pribadi untuk produsen layanan

  • Praktik terbaik logging, pemantauan, dan pemberitahuan

    • Membagikan log audit dari Cloud Identity
    • Menggunakan log audit
    • Mengaktifkan audit aktivitas administrator
    • Mengaktifkan VPC Flow Logs
    • Mengaktifkan Firewall Rules Logging
    • Mengaktifkan log audit Akses Data
    • Mengonfigurasi pemberitahuan penagihan
    • Mengaktifkan log Transparansi Akses

  • Praktik terbaik pengelolaan kunci dan secret

    • Mengenkripsi data dalam penyimpanan di Google Cloud
    • Menggunakan algoritma yang disetujui NIST untuk enkripsi dan dekripsi
    • Menetapkan tujuan untuk kunci Cloud Key Management Service
    • Memastikan setelan CMEK sesuai untuk data warehouse BigQuery yang aman
    • Merotasi kunci enkripsi setiap 90 hari
    • Menyiapkan rotasi secret otomatis
    • Membatasi lokasi kunci enkripsi yang dikelola pelanggan
    • Menggunakan CMEK untuk Google Cloud layanan
    • Mereplikasi secret secara otomatis

  • Praktik terbaik postur dan analisis keamanan

    • Mengaktifkan Security Command Center di tingkat organisasi
    • Mengonfigurasi pemberitahuan dari Security Command Center

• Praktik terbaik infrastruktur

  • Praktik terbaik komputasi

    • Menentukan instance VM yang dapat mengaktifkan penerusan IP
    • Menonaktifkan virtualisasi bertingkat VM
    • Membatasi alamat IP eksternal pada VM
    • Menentukan alamat IP eksternal yang diizinkan untuk instance VM
    • Memerlukan konektor VPC untuk Cloud Run Functions
    • Menonaktifkan alamat IP eksternal untuk tugas Dataflow
    • Menggunakan tag jaringan untuk aturan firewall

  • Praktik terbaik VMware Engine

    • Membatasi penetapan peran Admin untuk VMware Engine
    • Menggunakan peran Pelihat Layanan VMware Engine untuk hak istimewa terendah
    • Menggunakan RBAC dan hak istimewa terendah untuk peran vCenter Server Appliance
    • Menggunakan federasi identitas untuk pengguna VMware
    • Memberikan peran ke grup, bukan individu untuk vCenter Server Appliance
    • Jangan menetapkan Cloud-Owner-Role ke grup pengguna di vSphere
    • Menghindari penggunaan akun layanan vCenter dan NSX-T default
    • Merotasi sandi untuk akun layanan vCenter dan NSX-T default setiap 90 hari
    • Menggunakan NSX Gateway Firewall untuk menyegmentasikan traffic utara-selatan
    • Menggunakan NSX Distributed Firewall untuk menyegmentasikan traffic timur-barat
    • Membuat subnet terpisah untuk workload dengan persyaratan keamanan yang berbeda
    • Membuat sink log untuk menyimpan log audit VMware Engine
    • Mengumpulkan log platform tingkat VMware
    • Memantau aplikasi menggunakan Logging dan Monitoring
    • Membuat cloud pribadi di region yang sesuai dengan persyaratan residensi data Anda
    • Menerapkan strategi pencadangan dan pemulihan dari bencana (disaster recovery)
    • Menerapkan enkripsi tingkat aplikasi untuk workload VMware
    • Mengaktifkan enkripsi data saat transit pada cluster VMware vSAN
    • Mengonfigurasi enkripsi data dalam penyimpanan vSAN untuk menggunakan CMEK
    • Merotasi kunci yang digunakan untuk enkripsi data dalam penyimpanan vSAN

• Praktik terbaik pengelolaan data

  • Praktik terbaik penyimpanan

    • Memblokir akses publik ke bucket Cloud Storage
    • Menggunakan akses level bucket yang seragam
    • Melindungi kunci HMAC untuk akun layanan
    • Mendeteksi enumerasi bucket Cloud Storage oleh akun layanan
    • Memastikan kebijakan retensi bucket Cloud Storage menggunakan Kunci Bucket
    • Menetapkan aturan siklus proses untuk tindakan SetStorageClass
    • Menetapkan region yang diizinkan untuk class penyimpanan
    • Mengaktifkan pengelolaan siklus proses untuk bucket Cloud Storage
    • Mengaktifkan aturan pengelolaan siklus proses untuk bucket Cloud Storage
    • Meninjau dan mengevaluasi penangguhan sementara pada objek aktif
    • Menerapkan kebijakan retensi pada bucket Cloud Storage
    • Menerapkan tag klasifikasi untuk bucket Cloud Storage
    • Menerapkan bucket log untuk bucket Cloud Storage
    • Mengonfigurasi aturan penghapusan untuk bucket Cloud Storage
    • Memastikan kondisi isLive adalah False untuk aturan penghapusan
    • Menerapkan pembuatan versi untuk bucket Cloud Storage
    • Menerapkan pemilik untuk bucket Cloud Storage
    • Mengaktifkan logging aktivitas Cloud Storage utama

Langkah berikutnya

• Pelajari VMware Engine lebih lanjut.

• Bermigrasi ke platform Google Cloud VMware Engine.