本文档介绍了Google Cloud中的典型 Google Cloud VMware Engine 架构。本文档还列出了适用于 VMware Engine 工作负载的安全最佳实践,并介绍了何时使用特定的 Google Cloud 服务。
架构
下图展示了典型 VMware Engine 架构中的服务。 Google Cloud
该图包含以下部分:
Backup and DR Service 是一项代管式服务,可为在 VMware Engine 中运行的工作负载提供备份和恢复功能。
BigQuery 可为在 VMware Engine 虚拟机上运行的应用和数据库生成的数据提供数据仓储和分析功能。
Cloud Audit Logs 可跟踪用户在您的环境中执行的操作,从而增强您的问题排查、审核和突发事件响应能力。
借助 Cloud Billing 信息中心和提醒,您可以查看 VMware Engine 工作负载的使用情况和结算情况。
Cloud Identity 可为 Google Cloud统一身份、访问权限、应用和管理。
Cloud Load Balancing 可与混合网络端点组 (NEG) 搭配使用,以将流量分配给在 VMware Engine 虚拟机上运行的应用。
Cloud Storage 用于存储数据(包括备份数据),适用于 VMware Engine 虚拟机和工作负载。
Compute Engine 可以运行 VMware Engine 工作负载与之交互的应用。
Cloud DNS 可注册、管理和提供网域。
Google Cloud Armor 可为 VMware Engine 中托管的 Web 应用以及使用 Cloud Load Balancing 公开的应用提供 DDoS 攻击防护和 WAF 功能。
借助 Google Kubernetes Engine,您可以在 VMware Engine 内的 VMware 基础架构上运行 Kubernetes 集群。
Identity and Access Management (IAM) 用于控制谁可以对 VMware Engine 和资源执行特定操作,例如创建、修改或删除它们。
组织政策服务可集中管理和强制执行整个 Google Cloud环境中的政策。组织政策有助于确保组织内的项目和资源在配置和安全合规性方面保持一致。
Resource Manager 可帮助您对 VMware Engine 工作负载的逻辑组件进行分组和管理。
Secret Manager 可帮助您保护 VMware Engine 项目中使用的敏感数据和凭证。
Security Command Center 有助于保护您的云组织、VMware 工作负载以及您存储在 Google Cloud中的数据。Security Command Center 提供以下功能:
- 集中式安全管理
- 威胁检测和突发事件响应
- 自动化安全评估
- 合规性和监管报告
- 安全建议和最佳实践
虚拟私有云 (VPC) 可在安全的环境中将您的资源与互联网隔离开来。此网络配置有助于保护敏感数据和工作负载,防止未经授权的访问和潜在的网络攻击。
借助 Cloud VPN 或 Cloud Interconnect,您可以在本地基础架构和 VMware Engine 环境之间建立安全的网络连接。Cloud VPN 或 Cloud Interconnect 可帮助您在私有网络与 Google Cloud资源之间实现无缝的数据传输和通信。
VMware Engine 工作负载最佳实践
本部分提供了指向使用 VMware Engine 的工作负载的最佳实践的链接。
- 建议的用户群组和 IAM 角色
安全的企业级基础最佳实践
身份验证和授权最佳实践
组织最佳实践
网络最佳实践
日志记录、监控和提醒最佳实践
密钥和 Secret 管理最佳实践
安全态势和分析最佳实践
基础设施最佳实践
计算最佳实践
VMware Engine 最佳实践
- 限制 VMware Engine 的管理员角色分配
- 使用 VMware Engine Service Viewer 角色实现最小权限
- 为 vCenter Server 设备角色使用 RBAC 和最小权限
- 为 VMware 用户使用身份联合
- 向群组(而不是个人)授予 vCenter Server Appliance 的角色
- 请勿在 vSphere 中向用户组分配 Cloud-Owner-Role
- 避免使用默认的 vCenter 和 NSX-T 服务账号
- 每 90 天轮替一次默认 vCenter 和 NSX-T 服务账号的密码
- 使用 NSX 网关防火墙来细分南北向流量
- 使用 NSX 分布式防火墙来细分东西向流量
- 为具有不同安全要求的工作负载创建单独的子网
- 创建用于存储 VMware Engine 审核日志的日志接收器
- 收集 VMware 级平台日志
- 使用 Logging 和 Monitoring 监控应用
- 在符合数据驻留要求的区域中创建私有云
- 实施备份和灾难恢复策略
- 为 VMware 工作负载实现应用级加密
- 在 VMware vSAN 集群上启用传输中数据加密
- 配置 vSAN 静止数据加密以使用 CMEK
- 轮替用于 vSAN 静态数据加密的密钥
数据管理最佳实践
存储最佳实践
- 禁止公开访问 Cloud Storage 存储分区
- 使用统一存储桶级访问权限
- 保护服务账号的 HMAC 密钥
- 检测服务账号对 Cloud Storage 存储分区的枚举
- 确保 Cloud Storage 存储桶保留政策使用存储分区锁定
- 为 SetStorageClass 操作设置生命周期规则
- 为存储类别设置允许的区域
- 为 Cloud Storage 存储分区启用生命周期管理
- 为 Cloud Storage 存储分区启用生命周期管理规则
- 查看和评估活跃对象的暂时保全
- 对 Cloud Storage 存储分区强制执行保留政策
- 为 Cloud Storage 存储分区强制执行分类标记
- 为 Cloud Storage 存储分区强制使用日志存储分区
- 为 Cloud Storage 存储分区配置删除规则
- 确保删除规则的 isLive 条件为 False
- 为 Cloud Storage 存储分区强制启用版本控制
- 强制为 Cloud Storage 存储分区设置所有者
- 启用关键 Cloud Storage 活动的日志记录