Este documento descreve uma arquitetura típica do Google Cloud VMware Engine em Google Cloud. Ele também lista as práticas recomendadas de segurança aplicáveis a cargas de trabalho do VMware Engine e descreve quando usar serviços específicos do Google Cloud .
Arquitetura
O diagrama a seguir mostra os serviços Google Cloud em uma arquitetura típica do VMware Engine.
O diagrama inclui os seguintes pontos:
O serviço de backup e DR é um serviço gerenciado que oferece backup e recuperação de cargas de trabalho em execução no VMware Engine.
O BigQuery oferece recursos de armazenamento em data warehouse e análise para dados gerados pelos aplicativos e bancos de dados executados em VMs do VMware Engine.
Os registros de auditoria do Cloud monitoram as ações dos usuários no seu ambiente, o que melhora suas capacidades de solução de problemas, auditoria e resposta a incidentes.
Com os painéis e alertas do Cloud Billing, é possível analisar o uso e o faturamento das cargas de trabalho do VMware Engine.
O Cloud Identity unifica identidade, acesso, aplicativos e gerenciamento para Google Cloud.
O Cloud Load Balancing pode ser usado com grupos de endpoints de rede (NEGs) híbridos para distribuir o tráfego para aplicativos executados em VMs do VMware Engine.
O Cloud Storage armazena dados, incluindo dados de backup, para VMs e cargas de trabalho do VMware Engine.
O Compute Engine pode executar aplicativos com que as cargas de trabalho do VMware Engine interagem.
O Cloud DNS registra, gerencia e veicula seu domínio.
O Google Cloud Armor oferece proteção contra DDoS e recursos de WAF para aplicativos da Web hospedados no VMware Engine e aplicativos expostos usando o Cloud Load Balancing.
Com o Google Kubernetes Engine, é possível executar clusters do Kubernetes na sua infraestrutura do VMware no VMware Engine.
O Identity and Access Management (IAM) controla quem pode realizar ações específicas no VMware Engine e nos recursos, como criar, editar ou excluir.
O serviço de políticas da organização gerencia e aplica políticas de maneira centralizada em todo o ambiente do Google Cloud. A Política da organização ajuda a garantir a conformidade consistente de configuração e segurança em todos os projetos e recursos da sua organização.
O Resource Manager ajuda a agrupar e gerenciar componentes lógicos das cargas de trabalho do VMware Engine.
O Secret Manager ajuda a proteger os dados sensíveis e as credenciais usadas em projetos do VMware Engine.
O Security Command Center ajuda a proteger sua organização na nuvem, suas cargas de trabalho do VMware e os dados armazenados no Google Cloud. O Security Command Center oferece o seguinte:
- Gerenciamento de segurança centralizado
- Detecção de ameaças e resposta a incidentes
- Avaliações de segurança automatizadas
- Conformidade e relatórios regulamentares
- Recomendações e práticas recomendadas de segurança
A nuvem privada virtual (VPC) isola seus recursos da Internet em um ambiente seguro. Essa configuração de rede ajuda a proteger dados e cargas de trabalho sensíveis contra acesso não autorizado e possíveis ataques cibernéticos.
Com o Cloud VPN ou o Cloud Interconnect, é possível estabelecer uma conexão de rede segura entre sua infraestrutura local e o ambiente do VMware Engine. O Cloud VPN ou o Cloud Interconnect ajudam a permitir a transferência de dados e a comunicação entre sua rede privada e os recursos do Google Cloud sem problemas.
Práticas recomendadas para cargas de trabalho do VMware Engine
Nesta seção, você encontra links para as práticas recomendadas de cargas de trabalho que usam o VMware Engine.
- Grupos de usuários e papéis do IAM recomendados
Práticas recomendadas para uma base empresarial segura
Práticas recomendadas de autenticação e autorização
- Desativar concessões automáticas do IAM para contas de serviço padrão
- Bloquear a criação de chaves de conta de serviço externas
- Bloquear uploads de chaves de contas de serviço
- Configurar a segregação de funções para administradores de políticas da organização
- Ativar a verificação em duas etapas para contas de superadministrador
- Aplicar a verificação em duas etapas na unidade organizacional do superadministrador
- Criar um endereço de e-mail exclusivo para o superadministrador principal
- Criar contas de administrador redundantes
- Implemente tags para atribuir políticas do IAM e políticas da organização de maneira eficiente
- Auditar mudanças de alto risco no IAM
- Bloquear o acesso ao Cloud Shell para contas de usuário gerenciadas do Cloud Identity
- Configurar o Acesso baseado no contexto para consoles do Google
- Bloquear a recuperação de conta para superadministradores
- Desativar os Serviços do Google não usados
- Usar o Privileged Access Manager
Práticas recomendadas de organização
Práticas recomendadas de rede
- Bloquear a criação de rede padrão
- Ativar as extensões de segurança de DNS
- Ativar a restrição de escopo de serviço nas políticas de acesso do Access Context Manager
- Restringir APIs em perímetros de serviço do VPC Service Controls
- Usar DNS zonal
- ativar o Acesso privado do Google
- Ativar o acesso privado a serviços para produtores de serviços
Práticas recomendadas de geração de registros, monitoramento e alertas
- Compartilhar registros de auditoria do Cloud Identity
- Usar registros de auditoria
- Ativar a auditoria da atividade do administrador
- Ativar os registros de fluxo de VPC
- Ativar a Geração de Registros de Regras de Firewall
- Ativar registros de auditoria de acesso aos dados
- Configurar alertas de faturamento
- Ativar registros de transparência no acesso
Práticas recomendadas de gerenciamento de chaves e secrets
- Criptografar dados em repouso no Google Cloud
- Usar algoritmos aprovados pelo NIST para criptografia e descriptografia
- Definir a finalidade das chaves do Cloud Key Management Service
- Verifique se as configurações da CMEK são adequadas para data warehouses seguros do BigQuery
- Alternar a chave de criptografia a cada 90 dias
- Configurar a rotação automática de chaves secretas
- Restringir o local das chaves de criptografia gerenciadas pelo cliente
- Usar a CMEK para Google Cloud serviços
- Replicar chaves secretas automaticamente
Práticas recomendadas de análise e postura de segurança
Práticas recomendadas de infraestrutura
Práticas recomendadas de computação
- Definir instâncias de VM que podem ativar o encaminhamento de IP
- Desativar a virtualização aninhada da VM
- Restringir endereços IP externo em VMs
- Definir endereços IP externo permitidos para instâncias de VM
- Requer um conector de VPC para funções do Cloud Run
- Desativar endereços IP externo para jobs do Dataflow
- Usar tags de rede para regras de firewall
Práticas recomendadas do VMware Engine
- Limitar as atribuições de função de administrador para o VMware Engine
- Use o papel de Leitor do serviço do VMware Engine para o privilégio mínimo
- Usar o RBAC e o princípio de privilégio mínimo para papéis do vCenter Server Appliance
- Usar a federação de identidade para usuários do VMware
- Conceder papéis a grupos, e não a indivíduos, para o vCenter Server Appliance
- Não atribua a função de proprietário do Cloud a grupos de usuários no vSphere
- Evite usar contas de serviço padrão do vCenter e do NSX-T
- Alternar as senhas das contas de serviço padrão do vCenter e do NSX-T a cada 90 dias
- Usar o firewall de gateway do NSX para segmentar o tráfego norte-sul
- Usar o firewall distribuído do NSX para segmentar o tráfego leste-oeste
- Criar sub-redes separadas para cargas de trabalho com requisitos de segurança diferentes
- Criar um coletor de registros para armazenar registros de auditoria do VMware Engine
- Coletar registros da plataforma no nível do VMware
- Monitorar aplicativos usando o Logging e o Monitoring
- Crie nuvens privadas em regiões que atendam aos seus requisitos de residência de dados
- Implementar uma estratégia de backup e recuperação de desastres
- Implementar a criptografia no nível do aplicativo para cargas de trabalho do VMware
- Ativar a criptografia de dados em trânsito em clusters vSAN do VMware
- Configurar a criptografia de dados em repouso do vSAN para usar a CMEK
- Fazer a rotação das chaves usadas para criptografia de dados em repouso do vSAN
Práticas recomendadas de gerenciamento de dados
Práticas recomendadas de armazenamento
- Bloquear o acesso público aos buckets do Cloud Storage
- Usar o acesso uniforme no bucket
- Proteger chaves HMAC para contas de serviço
- Detectar a enumeração de buckets do Cloud Storage por contas de serviço
- Verifique se a política de retenção do bucket do Cloud Storage usa o bloqueio de bucket
- Definir regras de ciclo de vida para a ação SetStorageClass
- Definir regiões permitidas para classes de armazenamento
- Ativar o gerenciamento do ciclo de vida para buckets do Cloud Storage
- Ativar regras de gerenciamento do ciclo de vida para buckets do Cloud Storage
- Analisar e avaliar as retenções temporárias em objetos ativos
- Aplicar políticas de retenção em buckets do Cloud Storage
- Aplicar tags de classificação para buckets do Cloud Storage
- Aplicar buckets de registros para buckets do Cloud Storage
- Configurar regras de exclusão para buckets do Cloud Storage
- Verifique se a condição isLive é "False" para regras de exclusão
- Aplicar o controle de versões para buckets do Cloud Storage
- Aplicar proprietários para buckets do Cloud Storage
- Ativar o registro das principais atividades do Cloud Storage