이 문서에서는Google Cloud의 일반적인 Google Cloud VMware Engine 아키텍처를 설명합니다. 또한 VMware Engine 워크로드에 적용되는 보안 권장사항을 나열하고 특정 Google Cloud 서비스를 사용하는 경우를 설명합니다.
아키텍처
다음 다이어그램은 일반적인 VMware Engine 아키텍처의 서비스를 보여줍니다. Google Cloud
이 다이어그램에는 다음이 포함됩니다.
백업 및 DR 서비스는 VMware Engine에서 실행되는 워크로드의 백업 및 복구를 제공하는 관리형 서비스입니다.
BigQuery는 VMware Engine VM에서 실행되는 애플리케이션 및 데이터베이스에서 생성된 데이터에 대한 데이터 웨어하우징 및 분석 기능을 제공합니다.
Cloud 감사 로그는 사용자가 환경에서 수행하는 작업을 추적하여 문제 해결, 감사, 사고 대응 기능을 개선합니다.
Cloud Billing 대시보드와 알림을 통해 VMware Engine 워크로드의 사용량과 청구 내역을 검토할 수 있습니다.
Cloud ID는 Google Cloud의 ID, 액세스, 애플리케이션, 관리를 통합합니다.
Cloud Load Balancing은 하이브리드 네트워크 엔드포인트 그룹 (NEG)과 함께 사용하여 VMware Engine VM에서 실행되는 애플리케이션에 트래픽을 분산할 수 있습니다.
Cloud Storage는 VMware Engine VM 및 워크로드의 백업 데이터를 비롯한 데이터를 저장합니다.
Compute Engine은 VMware Engine 워크로드와 상호작용하는 애플리케이션을 실행할 수 있습니다.
Cloud DNS는 도메인을 등록, 관리, 제공합니다.
Google Cloud Armor는 VMware Engine에서 호스팅되는 웹 애플리케이션과 Cloud Load Balancing을 사용하여 노출되는 애플리케이션에 DDoS 보호 및 WAF 기능을 제공합니다.
Google Kubernetes Engine을 사용하면 VMware Engine 내 VMware 인프라에서 Kubernetes 클러스터를 실행할 수 있습니다.
Identity and Access Management (IAM)는 VMware Engine 및 리소스에 대해 생성, 수정, 삭제와 같은 특정 작업을 수행할 수 있는 사용자를 제어합니다.
조직 정책 서비스는 Google Cloud환경 전반에서 정책을 중앙에서 관리하고 시행합니다. 조직 정책은 조직 내 프로젝트와 리소스 전반에서 일관된 구성과 보안 규정 준수를 보장하는 데 도움이 됩니다.
Resource Manager를 사용하면 VMware Engine 워크로드의 논리적 구성요소를 그룹화하고 관리할 수 있습니다.
Secret Manager를 사용하면 VMware Engine 프로젝트에서 사용되는 민감한 정보와 사용자 인증 정보를 보호할 수 있습니다.
Security Command Center를 사용하면 클라우드 조직, VMware 워크로드, Google Cloud에 저장된 데이터를 보호할 수 있습니다. Security Command Center는 다음을 제공합니다.
- 중앙 집중식 보안 관리
- 위협 감지 및 사고 대응
- 자동화된 보안 평가
- 규정 준수 및 규제 보고
- 보안 권장사항 및 권장사항
가상 프라이빗 클라우드 (VPC)는 안전한 환경에서 인터넷으로부터 리소스를 격리합니다. 이 네트워크 구성은 무단 액세스 및 잠재적인 사이버 공격으로부터 민감한 정보와 워크로드를 보호하는 데 도움이 됩니다.
Cloud VPN 또는 Cloud Interconnect를 사용하면 온프레미스 인프라와 VMware Engine 환경 간에 보안 네트워크 연결을 설정할 수 있습니다. Cloud VPN 또는 Cloud Interconnect를 사용하면 비공개 네트워크와 Google Cloud리소스 간에 원활한 데이터 전송 및 통신이 가능합니다.
VMware Engine 워크로드 권장사항
이 섹션에서는 VMware Engine을 사용하는 워크로드의 권장사항 링크를 제공합니다.
- 권장 사용자 그룹 및 IAM 역할
안전한 엔터프라이즈 기반 권장사항
인증 및 승인 권장사항
- 기본 서비스 계정에 대한 자동 IAM 부여 사용 중지
- 외부 서비스 계정 키 생성 차단
- 서비스 계정 키 업로드 차단
- 조직 정책 관리자의 직무 분리 구성
- 최고 관리자 계정에 2단계 인증 사용 설정
- 최고 관리자 조직 단위에 2단계 인증 시행
- 기본 최고 관리자 전용 이메일 주소 만들기
- 중복 관리자 계정 만들기
- 태그를 구현하여 IAM 정책 및 조직 정책을 효율적으로 할당
- IAM의 고위험 변경사항 감사
- Cloud ID 관리형 사용자 계정의 Cloud Shell 액세스 차단
- Google 콘솔의 컨텍스트 인식 액세스 구성하기
- 최고 관리자 계정의 계정 직접 복구 차단
- 사용하지 않는 Google 서비스 사용 중지하기
- Privileged Access Manager 사용
조직 권장사항
네트워킹 권장사항
로깅, 모니터링, 알림 권장사항
키 및 보안 비밀 관리 권장사항
보안 상황 및 분석 권장사항
인프라 권장사항
컴퓨팅 권장사항
VMware Engine 권장사항
- VMware Engine의 관리자 역할 할당 제한
- 최소 권한을 위해 VMware Engine 서비스 뷰어 역할 사용
- vCenter Server Appliance 역할에 RBAC 및 최소 권한 사용
- VMware 사용자를 위한 ID 제휴 사용
- vCenter Server Appliance의 경우 개인 대신 그룹에 역할 부여
- vSphere의 사용자 그룹에 Cloud-Owner-Role을 할당하지 않음
- 기본 vCenter 및 NSX-T 서비스 계정 사용하지 않기
- 기본 vCenter 및 NSX-T 서비스 계정의 비밀번호를 90일마다 순환
- NSX 게이트웨이 방화벽을 사용하여 North-South 트래픽 분할
- NSX 분산 방화벽을 사용하여 East-West 트래픽 분류
- 보안 요구사항이 다른 워크로드에 별도의 서브넷 만들기
- VMware Engine 감사 로그를 저장할 로그 싱크 만들기
- VMware 수준 플랫폼 로그 수집
- 로깅 및 모니터링을 사용하여 애플리케이션 모니터링
- 데이터 상주 요구사항과 일치하는 리전에 프라이빗 클라우드 만들기
- 백업 및 재해 복구 전략 구현
- VMware 워크로드에 애플리케이션 수준 암호화 구현
- VMware vSAN 클러스터에서 전송 중 데이터 암호화 사용 설정
- CMEK를 사용하도록 vSAN 저장 데이터 암호화 구성
- vSAN 저장 데이터 암호화에 사용되는 키 순환
데이터 관리 권장사항
스토리지 권장사항
- Cloud Storage 버킷에 대한 공개 액세스 차단
- 균일한 버킷 수준 액세스 사용
- 서비스 계정의 HMAC 키 보호
- 서비스 계정의 Cloud Storage 버킷 열거 감지
- Cloud Storage 버킷 보관 정책이 버킷 잠금을 사용하는지 확인
- SetStorageClass 작업의 수명 주기 규칙 설정
- 스토리지 클래스의 허용된 리전 설정하기
- Cloud Storage 버킷의 수명 주기 관리 사용 설정
- Cloud Storage 버킷의 수명 주기 관리 규칙 사용 설정
- 활성 객체에 대한 임시 보존 검토 및 평가
- Cloud Storage 버킷에 보관 정책 적용
- Cloud Storage 버킷의 분류 태그 적용
- Cloud Storage 버킷에 로그 버킷 적용
- Cloud Storage 버킷의 삭제 규칙 구성
- 삭제 규칙의 isLive 조건이 False인지 확인
- Cloud Storage 버킷에 버전 관리 적용
- Cloud Storage 버킷의 소유자 강제 적용
- 주요 Cloud Storage 활동의 로깅 사용 설정