Questo documento descrive una tipica architettura di Google Cloud VMware Engine in Google Cloud. Elenca inoltre le best practice per la sicurezza che sono applicabili ai carichi di lavoro VMware Engine e descrive quando si utilizzerebbero servizi specifici Google Cloud .
Architettura
Il seguente diagramma mostra i Google Cloud servizi in una tipica architettura VMware Engine.
Questo diagramma include quanto segue:
Il servizio di backup e DR è un servizio gestito che fornisce backup e ripristino dei carichi di lavoro in esecuzione in VMware Engine.
BigQuery fornisce funzionalità di data warehousing e analisi per i dati generati dalle applicazioni e dai database in esecuzione sulle VM di VMware Engine.
Cloud Audit Logs monitora le azioni intraprese dagli utenti nel tuo ambiente, migliorando le funzionalità di risoluzione dei problemi, audit e risposta agli incidenti.
Le dashboard e gli avvisi di fatturazione Cloud ti consentono di esaminare l'utilizzo e la fatturazione dei carichi di lavoro VMware Engine.
Cloud Identity unifica identità, accesso, applicazioni e gestione per Google Cloud.
Cloud Load Balancing può essere utilizzato con i gruppi di endpoint di rete (NEG) ibridi per distribuire il traffico alle applicazioni in esecuzione sulle VM di VMware Engine.
Cloud Storage archivia i dati, inclusi i dati di backup, per le VM e i carichi di lavoro di VMware Engine.
Compute Engine può eseguire applicazioni con cui interagiscono i carichi di lavoro di VMware Engine.
Cloud DNS registra, gestisce e gestisce il tuo dominio.
Google Cloud Armor fornisce protezione DDoS e funzionalità WAF per le applicazioni web ospitate in VMware Engine e le applicazioni esposte tramite Cloud Load Balancing.
Google Kubernetes Engine ti consente di eseguire cluster Kubernetes sulla tua infrastruttura VMware all'interno di VMware Engine.
Identity and Access Management (IAM) controlla chi può eseguire azioni specifiche su VMware Engine e sulle risorse, ad esempio crearle, modificarle o eliminarle.
Il servizio Policy dell'organizzazione gestisce e applica centralmente le policy nel tuo Google Cloud ambiente. La policy dell'organizzazione contribuisce a garantire la coerenza della configurazione e la conformità alla sicurezza tra i progetti e le risorse all'interno della tua organizzazione.
Resource Manager ti aiuta a raggruppare e gestire i componenti logici dei carichi di lavoro di VMware Engine.
Secret Manager ti aiuta a proteggere i dati sensibili e le credenziali utilizzati nei progetti VMware Engine.
Security Command Center ti aiuta a proteggere la tua organizzazione cloud, i tuoi carichi di lavoro VMware e i dati che archivi su Google Cloud. Security Command Center fornisce quanto segue:
- Gestione centralizzata della sicurezza
- Rilevamento delle minacce e risposta agli incidenti
- Valutazioni di sicurezza automatizzate
- Report sulla conformità e sui rapporti per la conformità normativa
- Consigli e best practice per la sicurezza
Virtual Private Cloud (VPC) isola le tue risorse da internet in un ambiente sicuro. Questa configurazione di rete contribuisce a proteggere i dati e i carichi di lavoro sensibili da accessi non autorizzati e potenziali attacchi informatici.
Cloud VPN o Cloud Interconnect ti consente di stabilire una connessione di rete sicura tra la tua infrastruttura on-premise e il tuo ambiente VMware Engine. Cloud VPN o Cloud Interconnect contribuisce a consentire il trasferimento e la comunicazione senza interruzioni dei dati tra la rete e le risorse private. Google Cloud
Best practice per i carichi di lavoro di VMware Engine
Questa sezione fornisce link alle best practice per i carichi di lavoro che utilizzano VMware Engine.
- Gruppi di utenti e ruoli IAM consigliati
Best practice per una base aziendale sicura
Best practice per l'autenticazione e l'autorizzazione
- Disabilita le concessioni IAM automatiche per i service account predefiniti
- Blocca la creazione di chiavi di account di servizio esterni
- Blocca i caricamenti account di servizio account
- Configura la separazione dei compiti per gli amministratori delle policy dell'organizzazione
- Abilita la verifica in due passaggi per gli account super amministratore
- Applica la verifica in due passaggi all'unità organizzativa del super amministratore
- Crea un indirizzo email esclusivo per il super amministratore principale
- Crea account amministratore ridondanti
- Implementa i tag per assegnare in modo efficiente le policy IAM e le policy dell'organizzazione
- Esegui l'audit delle modifiche ad alto rischio a IAM
- Blocca l'accesso a Cloud Shell per gli account utente gestiti da Cloud Identity
- Configura l'accesso sensibile al contesto per le console Google
- Blocca l'auto-recupero dell'account per gli account super amministratore
- Disattiva i servizi Google inutilizzati
- Utilizza Privileged Access Manager
Best practice per l'organizzazione
Best practice Networking
- Blocca la creazione della rete predefinita
- Abilita le estensioni di sicurezza DNS
- Abilita la limitazione dell'ambito del servizio nelle policy di accesso di Gestore contesto accesso
- Limita le API all'interno dei perimetri di servizio di Controlli di servizio VPC
- Usa DNS di zona
- Abilita l'accesso privato Google
- Abilita l'accesso privato ai servizi per i producer di servizi
Best practice per logging, monitoraggio e avvisi
Best practice per la gestione di chiavi e secret
- Cripta i dati a riposo in Google Cloud
- Utilizza algoritmi approvati da NIST per la crittografia e la decrittografia
- Imposta lo scopo delle chiavi di Cloud Key Management Service
- Assicurati che le impostazioni CMEK siano appropriate per i data warehouse BigQuery sicuri
- Ruota la chiave di crittografia ogni 90 giorni
- Configura la rotazione automatica dei secret
- Limita la località delle chiavi di crittografia gestite dal cliente
- Utilizza CMEK per Google Cloud servizi
- Replica automaticamente i secret
Best practice per la security posture e l'analisi
Best practice per l'infrastruttura
Best practice per Compute
- Definisci le istanze VM che possono abilitare il forwarding IP
- Disattiva la virtualizzazione nidificata delle VM
- Limita gli indirizzi IP esterni sulle VM
- Definisci gli indirizzi IP esterni consentiti per le istanze VM
- Richiedi il connettore VPC per le funzioni Cloud Run
- Disattiva gli indirizzi IP esterni per i job Dataflow
- Utilizza i tag di rete per le regole firewall
Best practice per VMware Engine
- Limita le assegnazioni di ruoli di amministratore per VMware Engine
- Utilizza il ruolo Visualizzatore del servizio VMware Engine per il privilegio minimo
- Utilizza RBAC e il privilegio minimo per i ruoli di vCenter Server Appliance
- Utilizza la federazione di identità per gli utenti VMware
- Assegna i ruoli ai gruppi anziché a singoli utenti per vCenter Server Appliance
- Non assegnare il ruolo Proprietario del cloud ai gruppi di utenti in vSphere
- Evita di utilizzare i service account predefiniti di vCenter e NSX-T
- Ruota le password per i service account predefiniti di vCenter e NSX-T ogni 90 giorni
- Utilizza il firewall del gateway NSX per segmentare il traffico nord-sud
- Utilizza il firewall distribuito NSX per segmentare il traffico est-ovest
- Crea subnet separate per i carichi di lavoro con requisiti di sicurezza diversi
- Crea un sink di log per archiviare gli audit log di VMware Engine
- Raccogli i log della piattaforma a livello di VMware
- Monitora le applicazioni utilizzando Logging e Monitoring
- Crea cloud privati nelle regioni che soddisfano i tuoi requisiti di residenza dei dati
- Implementa una strategia di backup e disaster recovery
- Implementa la crittografia a livello di applicazione per i carichi di lavoro VMware
- Abilita la crittografia dei dati in transito sui cluster VMware vSAN
- Configura la crittografia dei dati inattivi di vSAN in modo che utilizzi CMEK
- Ruota le chiavi utilizzate per la crittografia dei dati inattivi di vSAN
Best practice per la gestione dei dati
Best practice per l'archiviazione
- Blocca l'accesso pubblico ai bucket Cloud Storage
- Utilizza l'accesso uniforme a livello di bucket
- Proteggi le chiavi HMAC per i service account
- Rileva l'enumerazione dei bucket Cloud Storage da parte dei service account
- Assicurati che la policy di conservazione dei bucket Cloud Storage utilizzi il blocco dei bucket
- Imposta le regole del ciclo di vita per l'azione SetStorageClass
- Imposta le regioni consentite per le classi di archiviazione
- Abilita la gestione del ciclo di vita per i bucket Cloud Storage
- Abilita le regole di gestione del ciclo di vita per i bucket Cloud Storage
- Esamina e valuta i blocchi temporanei sugli oggetti attivi
- Applica le policy di conservazione sui bucket Cloud Storage
- Applica i tag di classificazione per i bucket Cloud Storage
- Applica i bucket di log per i bucket Cloud Storage
- Configura le regole di eliminazione per i bucket Cloud Storage
- Assicurati che la condizione isLive sia False per le regole di eliminazione
- Applica il controllo delle versioni per i bucket Cloud Storage
- Applica i proprietari per i bucket Cloud Storage
- Abilita il logging delle attività chiave di Cloud Storage