本文說明典型的 Google Cloud VMware Engine 架構,如圖Google Cloud所示。此外,本文也列出適用於 VMware Engine 工作負載的安全防護最佳做法,並說明何時應使用特定 Google Cloud 服務。
架構
下圖顯示一般 VMware Engine 架構中的服務。 Google Cloud
這張圖包含下列項目:
備份和災難復原服務是代管服務,可備份及復原在 VMware Engine 中執行的工作負載。
BigQuery 提供資料倉儲和分析功能,可處理在 VMware Engine VM 上執行的應用程式和資料庫所產生的資料。
Cloud 稽核記錄會追蹤使用者在環境中執行的動作,有助於提升疑難排解、稽核和事件應變能力。
Cloud Billing 資訊主頁和快訊可協助您查看 VMware Engine 工作負載的使用量和帳單。
Cloud Identity 整合了身分、存取權、應用程式和 Google Cloud的管理功能。
Cloud Load Balancing 可與混合網路端點群組 (NEG) 搭配使用,將流量分配給在 VMware Engine VM 上執行的應用程式。
Cloud Storage 會儲存資料,包括 VMware Engine VM 和工作負載的備份資料。
Compute Engine 可執行與 VMware Engine 工作負載互動的應用程式。
Cloud DNS 可註冊、管理及提供網域。
Google Cloud Armor 可為 VMware Engine 中代管的網頁應用程式,以及透過 Cloud Load Balancing 公開的應用程式,提供 DDoS 防護和 WAF 功能。
Google Kubernetes Engine 可讓您在 VMware Engine 內,透過 VMware 基礎架構執行 Kubernetes 叢集。
Identity and Access Management (IAM) 可控管哪些使用者可以對 VMware Engine 和資源執行特定動作,例如建立、編輯或刪除資源。
機構政策服務可集中管理及強制執行 Google Cloud環境的政策。組織政策可確保組織內部專案和資源的設定一致,並符合安全法規。
Resource Manager可協助您將 VMware Engine 工作負載的邏輯元件分組及管理。
Secret Manager 可協助您保護 VMware Engine 專案中使用的機密資料和憑證。
Security Command Center 可協助您保護雲端組織、VMware 工作負載,以及儲存在 Google Cloud中的資料。Security Command Center 提供下列功能:
- 集中式安全性管理
- 威脅偵測與事件應變
- 自動安全性評估
- 法規遵循與監管報告
- 安全性建議與最佳做法
虛擬私有雲 (VPC) 可在安全環境中將資源與網際網路隔離。這項網路設定有助於保護私密資料和工作負載,防範未經授權的存取行為和潛在網路攻擊。
您可以使用 Cloud VPN 或 Cloud Interconnect,在您的地端部署基礎架構與 VMware Engine 環境之間建立安全的網路連線。Cloud VPN 或 Cloud Interconnect 可協助您在私人網路和 Google Cloud資源之間,順暢地傳輸資料及通訊。
VMware Engine 工作負載的最佳做法
本節提供連結,說明使用 VMware Engine 的工作負載最佳做法。
- 建議的使用者群組和 IAM 角色
企業安全基礎最佳做法
驗證和授權最佳做法
機構最佳做法
網路最佳做法
記錄、監控和快訊最佳做法
金鑰和密鑰管理最佳做法
安全狀態和分析最佳做法
基礎架構最佳做法
運算最佳做法
VMware Engine 最佳做法
- 限制 VMware Engine 的管理員角色指派
- 使用 VMware Engine 服務檢視者角色,取得最低權限
- 為 vCenter Server Appliance 角色使用 RBAC 和最小權限
- 為 VMware 使用者啟用身分聯盟
- 將角色授予群組,而非 vCenter Server Appliance 的個別使用者
- 請勿在 vSphere 中將 Cloud-Owner-Role 指派給使用者群組
- 避免使用預設的 vCenter 和 NSX-T 服務帳戶
- 每隔 90 天輪替一次預設 vCenter 和 NSX-T 服務帳戶的密碼
- 使用 NSX 閘道防火牆區隔南北向流量
- 使用 NSX Distributed Firewall 區隔東西向流量
- 為安全性需求不同的工作負載建立個別子網路
- 建立記錄接收器,儲存 VMware Engine 稽核記錄
- 收集 VMware 層級的平台記錄
- 使用記錄與監控功能監控應用程式
- 在符合資料落地規定的區域中建立私有雲
- 導入備份和災難復原策略
- 為 VMware 工作負載實作應用程式層級加密
- 在 VMware vSAN 叢集上啟用傳輸中資料加密功能
- 設定 vSAN 靜態資料加密,以使用 CMEK
- 輪替用於 vSAN 靜態資料加密的金鑰
資料管理最佳做法
儲存空間最佳做法
- 禁止公開存取 Cloud Storage bucket
- 使用統一值區層級存取權
- 保護服務帳戶的 HMAC 金鑰
- 偵測服務帳戶列舉 Cloud Storage 值區的行為
- 確保 Cloud Storage bucket 保留政策使用 Bucket Lock
- 為 SetStorageClass 動作設定生命週期規則
- 為儲存空間級別設定允許的地區
- 啟用 Cloud Storage bucket 的生命週期管理功能
- 為 Cloud Storage 值區啟用生命週期管理規則
- 查看及評估有效物件的暫時保留狀態
- 強制執行 Cloud Storage bucket 的保留政策
- 強制執行 Cloud Storage bucket 的分類標記
- 強制為 Cloud Storage 值區使用記錄值區
- 設定 Cloud Storage bucket 的刪除規則
- 確認刪除規則的 isLive 條件為 False
- 強制執行 Cloud Storage bucket 的版本控管
- 強制執行 Cloud Storage bucket 的擁有者
- 啟用重要 Cloud Storage 活動的記錄功能