Google Cloud VMware Engine のセキュリティのベスト プラクティス

このドキュメントでは、 Google Cloudでの一般的な Google Cloud VMware Engine アーキテクチャについて説明します。また、VMware Engine ワークロードに 適用できるセキュリティのベスト プラクティスと、特定の サービスを使用するタイミングについても説明します。 Google Cloud

アーキテクチャ

次の図は、一般的な VMware Engine アーキテクチャの Google Cloud サービスを 示しています。

この図式には次のものが含まれています。

• Backup and DR Service は、 VMware Engine で実行されているワークロードのバックアップと復元を提供する マネージド サービスです。

• BigQuery は、VMware Engine VM で実行されるアプリケーションと データベースによって生成されたデータのデータ ウェアハウス機能と 分析機能を提供します。

• Cloud Audit Logs は、ユーザーが 環境で行った操作を追跡し、トラブルシューティング、監査、インシデント対応の機能を強化します。

• Cloud Billing ダッシュボードとアラートを使用すると、VMware Engine ワークロードの使用状況と請求を 確認できます。

• Cloud Identity は、 の ID、アクセス、 アプリケーション、管理を統合します Google Cloud。

• Cloud Load Balancing は、ハイブリッド ネットワーク エンドポイント グループ（NEG）とともに 使用して、VMware Engine VM で実行される アプリケーションにトラフィックを分散できます。

• Cloud Storage は、バックアップ データなどのデータを VMware Engine VM とワークロード用に保存します。

• Compute Engine は、 VMware Engine ワークロードがやり取りするアプリケーションを実行できます。

• Cloud DNS は、 ドメインの登録、管理、提供を行います。

• Google Cloud Armor は、VMware Engine でホストされているウェブ アプリケーションと、Cloud Load Balancing を使用して公開されているアプリケーションに、DDoS 防御機能 と WAF 機能を提供します。

• Google Kubernetes Engine を使用すると、VMware Engine 内の VMware インフラストラクチャで Kubernetes クラスタを実行できます。

• Identity and Access Management（IAM）は、VMware Engine と リソースに対して 特定の操作（作成、 編集、削除など）を実行できるユーザーを制御します。

• 組織のポリシー サービス は、 Google Cloud 環境全体でポリシーを一元的に管理し、適用します。組織のポリシーは、組織内のプロジェクトとリソース全体で一貫した構成とセキュリティ コンプライアンスの確保に役立ちます。

• Resource Manager は、VMware Engine ワークロードの論理コンポーネントをグループ化して管理するのに役立ちます。

• Secret Manager は、VMware Engine プロジェクトで使用されるセンシティブ データと認証情報を保護するのに役立ちます。

• Security Command Center は、クラウド組織、VMware ワークロード、 に保存するデータ Google Cloudを保護するのに役立ちます。Security Command Center には次の機能があります。

  • セキュリティの一元管理
  • 脅威の検出とインシデント対応
  • セキュリティの自動評価
  • コンプライアンスと規制に関するレポート
  • セキュリティに関する推奨事項とベスト プラクティス

• Virtual Private Cloud（VPC）は、安全な環境で インターネットからリソースを分離します。このネットワーク構成は、センシティブ データとワークロードを不正アクセスや潜在的なサイバー攻撃から保護するのに役立ちます。

• Cloud VPN または Cloud Interconnect を使用すると、オンプレミス インフラストラクチャと VMware Engine 環境の間に安全なネットワーク接続を確立できます。 Cloud VPN または Cloud Interconnect を使用すると、プライベート ネットワークと Google Cloud リソース間のデータ 転送と通信をシームレスに行うことができます。

VMware Engine ワークロードのベスト プラクティス

このセクションでは、VMware Engine を使用するワークロードのベスト プラクティスへのリンクを示します。

• 推奨されるユーザー グループと IAM ロール

• 安全なエンタープライズ基盤のベスト プラクティス

  • 認証と認可のベスト プラクティス

    • デフォルトのサービス アカウントに対する IAM ロールの自動付与を無効にする
    • 外部サービス アカウント キーの作成をブロックする
    • サービス アカウント キーのアップロードをブロックする
    • 組織のポリシー管理者の職務分離を構成する
    • 特権管理者アカウントで 2 段階認証プロセスを有効にする
    • 特権管理者組織部門に 2 段階認証プロセスを適用する
    • メインの特権管理者専用のメールアドレスを作成する
    • 冗長管理者アカウントを作成する
    • タグを実装して、IAM ポリシーと組織のポリシーを効率的に割り当てる
    • IAM に対するリスクの高い変更を監査する
    • Cloud Identity のマネージド ユーザー アカウントの Cloud Shell へのアクセスをブロックする
    • Google コンソールのコンテキストアウェア アクセスを構成する
    • 特権管理者アカウントの自己復元をブロックする
    • 使用していない Google サービスをオフにする
    • Privileged Access Manager を使用する

  • 組織のベスト プラクティス

    • Google API でサポートされる TLS バージョンを制限する
    • 承認済みプリンシパルを制限する
    • リソース サービスの使用を制限する
    • リソース ロケーションを制限する

  • ネットワーキングのベスト プラクティス

    • デフォルト ネットワークの作成をブロックする
    • DNS Security Extensions を有効にする
    • Access Context Manager のアクセス ポリシーでサービス スコープの制限を有効にする
    • VPC Service Controls サービス境界内の API を制限する
    • ゾーン DNS を使用する
    • プライベート Google アクセスを有効にする
    • サービス プロデューサーのプライベート サービス アクセスを有効にする

  • ロギング、モニタリング、アラートのベスト プラクティス

    • Cloud Identity から監査ログを共有する
    • 監査ログを使用する
    • 管理者のアクティビティの監査を有効にする
    • VPC フローログを有効にする
    • ファイアウォール ルール ロギングを有効にする
    • データアクセス監査ログを有効にする
    • 請求アラートを構成する
    • アクセスの透明性ログを有効にする

  • 鍵とシークレットの管理のベスト プラクティス

    • で保存データを暗号化する Google Cloud
    • 暗号化と復号に NIST 承認済みのアルゴリズムを使用する
    • Cloud Key Management Service 鍵の目的を設定する
    • 安全な BigQuery データ ウェアハウスに適切な CMEK 設定がされていることを確認する
    • 暗号鍵を 90 日ごとにローテーションする
    • シークレットの自動ローテーションを設定する
    • 顧客管理の暗号鍵のロケーションを制限する
    • サービスに CMEK を使用する Google Cloud
    • シークレットを自動的に複製する

  • セキュリティ ポスチャーと分析のベスト プラクティス

    • 組織レベルで Security Command Center を有効にする
    • Security Command Center からアラートを構成する

• インフラストラクチャのベスト プラクティス

  • コンピューティング ベスト プラクティス

    • IP 転送を有効にできる VM インスタンスを定義する
    • VM のネストされた仮想化を無効にする
    • VM の外部 IP アドレスを制限する
    • VM インスタンスに対して許可されている外部 IP アドレスを定義する
    • Cloud Run functions の VPC コネクタを必須にする
    • Dataflow ジョブの外部 IP アドレスをオフにする
    • ファイアウォール ルールにネットワーク タグを使用する

  • VMware Engine のベスト プラクティス

    • VMware Engine の管理者ロールの割り当てを制限する
    • 最小権限には VMware Engine サービス閲覧者ロールを使用する
    • vCenter Server Appliance ロールに RBAC と最小権限を使用する
    • VMware ユーザーに ID 連携を使用する
    • vCenter Server Appliance の個人ではなくグループにロールを付与する
    • vSphere のユーザー グループに Cloud-Owner-Role を割り当てない
    • デフォルトの vCenter サービス アカウントと NSX-T サービス アカウントの使用を避ける
    • デフォルトの vCenter サービス アカウントと NSX-T サービス アカウントのパスワードを 90 日ごとにローテーションする
    • NSX ゲートウェイ ファイアウォールを使用して North-South トラフィックをセグメント化する
    • NSX 分散ファイアウォールを使用して East-West トラフィックをセグメント化する
    • セキュリティ要件が異なるワークロード用に個別のサブネットを作成する
    • ログシンクを作成して VMware Engine の監査ログを保存する
    • VMware レベルのプラットフォーム ログを収集する
    • ロギングとモニタリングを使用してアプリケーションをモニタリングする
    • データの保存場所の要件に一致するリージョンにプライベート クラウドを作成する
    • バックアップと障害復旧の戦略を実装する
    • VMware ワークロードにアプリケーション レベルの暗号化を実装する
    • VMware vSAN クラスタで転送中のデータの暗号化を有効にする
    • CMEK を使用するように vSAN 保存データの暗号化を構成する
    • vSAN 保存データの暗号化に使用する鍵をローテーションする

• データ管理のベスト プラクティス

  • ストレージのベスト プラクティス

    • Cloud Storage バケットへのパブリック アクセスをブロックする
    • 均一なバケットレベルのアクセスの使用
    • サービス アカウントの HMAC キーを保護する
    • サービス アカウントによる Cloud Storage バケットの列挙を検出する
    • Cloud Storage バケットの保持ポリシーでバケットロックが使用されていることを確認する
    • SetStorageClass アクションのライフサイクル ルールを設定する
    • ストレージ クラスの許可リージョンを設定する
    • Cloud Storage バケットのライフサイクル管理を有効にする
    • Cloud Storage バケットのライフサイクル管理ルールを有効にする
    • アクティブなオブジェクトの一時保留を確認して評価する
    • Cloud Storage バケットに保持ポリシーを適用する
    • Cloud Storage バケットの分類タグを適用する
    • Cloud Storage バケットのログバケットを適用する
    • Cloud Storage バケットの削除ルールを構成する
    • 削除ルールの isLive 条件が False であることを確認する
    • Cloud Storage バケットのバージョニングを適用する
    • Cloud Storage バケットのオーナーを適用する
    • Cloud Storage の主なアクティビティのロギングを有効にする

次のステップ

• VMware Engine の詳細を確認する。

• Google Cloud VMware Engine プラットフォームに移行する。