Modelo de responsabilidad compartida de VMware Engine
En esta página, se describen tus responsabilidades como cliente de Google Cloud VMware Engine y las responsabilidades de Google.
Introducción
La seguridad de confianza en Google Cloud se logra a través de las responsabilidades compartidas de los clientes y Google como proveedor de servicios. El objetivo de este modelo es proporcionar mayor seguridad y eliminar los puntos únicos de fallo. En las siguientes secciones, se enumeran las responsabilidades por rol.
Matriz de responsabilidad compartida
En la siguiente tabla, se describe la matriz de responsabilidad compartida, en la que se detallan las actividades que administran Google y el cliente:
| Actividad | Responsabilidad | Comentarios |
|---|---|---|
| Supervisión y alertas | ||
| SO y aplicaciones de la VM (infraestructura) | Google supervisa el estado y la disponibilidad de la infraestructura de VM. | |
| SO y aplicaciones de la VM (rendimiento) | Cliente | El cliente es responsable de proporcionar experiencia en VMware y seguir los lineamientos de rendimiento de VMware. |
| vSAN | Google supervisa el estado y la disponibilidad del almacenamiento vSAN. | |
| Superposición de red | Google supervisa el estado de los dispositivos de infraestructura de NSX (dispositivos de puerta de enlace perimetral y controladores) y la red subyacente de la infraestructura (subyacente) que se proporciona a través de VLAN físicas. | |
| NSX | Cliente | El cliente puede administrar por su cuenta las redes superpuestas a través de NSX. Todas las funciones de NSX están disponibles y el cliente las supervisa y administra. El cliente puede configurar reglas de firewall, direcciones IP públicas y el intercambio de tráfico entre VPC de la infraestructura subyacente. |
| VPN/IPsec de sitio a sitio (estado del servicio) | Google proporciona VPN como un servicio a través de Cloud VPN y supervisa el estado de los dispositivos VPN. | |
| VPN/IPsec de sitio a sitio (dispositivos VPN locales y en NSX) | Cliente | El cliente debe supervisar los dispositivos locales y también puede autoadministrar y supervisar los dispositivos VPN en NSX. |
| Hosts ESXi | Si se identifica la necesidad de asistencia para una plataforma de VMware (ESXi, vCenter, vSAN, NSX) o hardware de infraestructura, Google brinda asistencia. | |
| Dispositivos de seguridad y redes | Google Cloud y la plataforma de VMware proporcionan capacidades predeterminadas de VPN, puerta de enlace y firewall. Google administra el estado de estos dispositivos, y el cliente administra las herramientas específicas para el cliente. | |
| HCX | Google supervisa el estado y la disponibilidad de la implementación predeterminada de HCX. | |
| Asistencia | ||
| SO y aplicaciones de la VM | Cliente | El cliente es responsable de cualquier asistencia relacionada con el SO o la aplicación. |
| vSAN | Si se identifica la necesidad de asistencia para una plataforma de VMware (ESXi, vCenter, vSAN, NSX) o hardware de infraestructura, Google brinda asistencia. | |
| Superposición de red | Google proporciona asistencia para las redes superpuestas. | |
| Hosts ESXi: hardware | Si se identifica la necesidad de asistencia para una plataforma de VMware (ESXi, vCenter, vSAN, NSX) o hardware de infraestructura, Google brinda asistencia, incluido el reemplazo del host. | |
| Hosts ESXi: software predeterminado | De forma predeterminada, Google administra el software implementado en el nodo. | |
| Hosts ESXi: Software implementado por el cliente | Cliente | El cliente es responsable de cualquier software que implemente con privilegios elevados (por ejemplo, Zerto). |
| Dispositivos de seguridad y redes | Si se identifica la necesidad de asistencia para una plataforma de VMware (ESXi, vCenter, vSAN, NSX) o hardware de infraestructura, Google brinda asistencia. | |
| NSX | Si se identifica la necesidad de asistencia para una plataforma de VMware (ESXi, vCenter, vSAN, NSX) o hardware de infraestructura, Google brinda asistencia. | |
| VPN/IPsec de sitio a sitio (estado del servicio) | Google proporciona VPN como un servicio a través de Cloud VPN. | |
| VPN/IPsec de sitio a sitio (dispositivos VPN locales) | Cliente | Google proporciona VPN como un servicio a través de Cloud VPN. El cliente debe admitir dispositivos locales. |
| Asistencia de software para ISV | Cliente | El cliente debe confirmar la asistencia con proveedores de software independientes (ISV) antes de implementar software específico en la nube privada. |
| Administración de identidades | ||
| Implementación | Cliente | El cliente puede integrar fuentes de ID locales con la consola de Google Cloud y con vCenter. |
| Configuración y administración | Cliente | El cliente administra y configura las fuentes de identidad, incluida la administración de usuarios de vCenter y NSX (identidad, control de acceso). |
| Instalación y aprovisionamiento | ||
| Nubes privadas (implementación) | Cliente | El cliente activa la implementación de nubes privadas a través de la consola, la API o la CLI. |
| Hosts ESXi | Google instala y aprovisiona los hosts ESXi. | |
| vSAN | Google instala y aprovisiona vSAN. | |
| vCenter | Google implementa y realiza la configuración básica de vCenter. | |
| vRA | Google implementa y realiza la configuración básica de vRA. | |
| Estadísticas de registros | Google implementa y realiza la configuración básica de Aria Operations for Logs (anteriormente vRealize Log Insight). | |
| SO y aplicaciones | Cliente | El cliente instala y aprovisiona sistemas operativos y aplicaciones. |
| Bases de datos | Cliente | El cliente instala y aprovisiona bases de datos. |
| Dispositivos de seguridad y redes | Google Cloud y la plataforma de VMware proporcionan capacidades predeterminadas de VPN, puerta de enlace y firewall. El cliente administra las herramientas específicas para el cliente. | |
| NSX | Google implementa y realiza la configuración básica de NSX. | |
| VPN/IPsec de sitio a sitio | Cliente | El cliente debe aprovisionar Cloud VPN en su proyecto Google Cloud . |
| HCX (implementación inicial) | Google implementa y realiza la configuración básica de HCX. | |
| Migración de cargas de trabajo | Cliente | El cliente es responsable de migrar las VMs y las cargas de trabajo a la nube privada, y de administrar las herramientas de migración (como HCX). |
| Copia de seguridad y restablecimiento | ||
| Servicios de administración | Google administra la copia de seguridad y el restablecimiento de los servicios de administración, incluidos vCenter Server y NSX Manager. Esto no incluye las cargas de trabajo de los clientes. | |
| Cargas de trabajo de clientes | Cliente | El cliente es responsable de instalar, configurar y administrar el software de copias de seguridad para los entornos y las cargas de trabajo del cliente. |
| Configuración y administración | ||
| Hosts ESXi | Google administra la configuración de los hosts de ESXi. | |
| vSAN (configuración inicial y predeterminada) | Google administra la configuración inicial de vSAN. | |
| vSAN (configuración no predeterminada) | Cliente | El cliente puede cambiar la configuración (por ejemplo, la política de almacenamiento). |
| vCenter (configuración inicial) | Google implementa y realiza la configuración básica de vCenter. | |
| vCenter (personalización) | Cliente | El cliente debe configurar las fuentes de ID, los usuarios externos, las políticas de DRS/HA, las políticas de vSAN, las subredes de NSX y las aplicaciones de complementos. |
| vRA | Google administra la configuración de vRA. | |
| Estadísticas de registros | Google administra la configuración de Aria Operations for Logs. | |
| SO y aplicaciones | Cliente | El cliente administra la configuración del sistema operativo y de las aplicaciones. |
| Bases de datos | Cliente | El cliente administra la configuración de la base de datos. |
| Dispositivos de seguridad y redes | Google administra la configuración de los dispositivos de seguridad y de red predeterminados. | |
| SAN/almacenamiento | Google administra la red de área de almacenamiento (SAN) y las configuraciones de almacenamiento. | |
| NSX (configuración inicial) | Google implementa y realiza la configuración básica de NSX, NSX Edge y los controladores. | |
| NSX (personalización) | Cliente | El cliente debe configurar subredes, firewalls o microsegmentación, y otros dispositivos opcionales, además de realizar una administración continua. |
| VPN/IPsec de sitio a sitio | Google administra la configuración de las capacidades predeterminadas de VPN y de IPsec de sitio a sitio. | |
| Ajuste de la VM | Cliente | El cliente debe seguir los lineamientos de rendimiento de VMware. |
| Rangos de la red de administración | Cliente | El cliente debe asignar y definir el rango de red CIDR para los dispositivos y recursos de administración. |
| Herramientas de administración de configuración | Cliente | El cliente es responsable de instalar y administrar cualquier herramienta de administración de configuración de invitados. |
| Aplicación de parches, actualizaciones y mejoras | ||
| Hosts ESXi: hardware | Google se encarga de aplicar parches, actualizaciones y mejoras al hardware del host de ESXi. | |
| Hosts ESXi: firmware | Google se encarga de aplicar parches, actualizaciones y mejoras al firmware del host ESXi. | |
| vSAN | Google se encarga de aplicar parches, actualizaciones y mejoras a vSAN. | |
| vCenter | Google se encarga de aplicar parches, actualizaciones y mejoras a vCenter. | |
| vRA | Google se encarga de los parches, las actualizaciones y las mejoras de vRA. | |
| Estadísticas de registros | Google se encarga de los parches, las actualizaciones y las mejoras de Aria Operations for Logs. | |
| SO y aplicaciones | Cliente | El cliente se encarga de aplicar parches, actualizaciones y mejoras a los sistemas operativos y las aplicaciones invitados. |
| Bases de datos | Cliente | El cliente se encarga de aplicar parches, actualizaciones y mejoras a las bases de datos. |
| Dispositivos de seguridad y redes (configuración estándar) | Google Cloud y la plataforma de VMware proporcionan capacidades predeterminadas de VPN, puerta de enlace y firewall. Google se encarga de aplicar parches, realizar actualizaciones y mejorar estas capacidades. | |
| Dispositivos de seguridad y redes (configuración adicional) | Cliente | El cliente administra las herramientas específicas para el cliente. |
| NSX | Google se encarga de los parches, las actualizaciones y las mejoras de NSX. | |
| Actualizaciones y modificaciones | ||
| VPN/IPsec de sitio a sitio (configuración inicial) | Google actualiza la infraestructura de Cloud VPN. | |
| VPN/IPsec de sitio a sitio (personalización) | Cliente | El cliente puede realizar modificaciones. |
| Software y configuración de seguridad | ||
| SO y aplicaciones de la VM | Cliente | El Cliente es responsable de seguir las prácticas recomendadas de seguridad de VMware. |
| Herramientas de seguridad y antivirus | Cliente | El cliente es responsable de instalar y administrar el software antivirus, el software de seguridad y los agentes en los entornos y las cargas de trabajo de los invitados. |
| Encriptación de vSAN (datos en reposo) | Cliente | El cliente es responsable de mantener habilitada la encriptación de datos en reposo de vSAN y de administrar el ciclo de vida (rotación) de la clave de encriptación de claves (KEK). |
| Seguridad de red principal | ||
| Configuración inicial | La plataforma proporciona funciones predeterminadas, como firewall y microsegmentación. | |
| Personalización | Cliente | El cliente debe configurar estas funciones para que coincidan con sus políticas y necesidades. |
| Cumplimiento | ||
| Servicios e infraestructura administrados por Google | Google adquiere y mantiene las certificaciones de cumplimiento de la industria y las reglamentaciones para los servicios y la infraestructura administrados por Google. | |
| Entornos y cargas de trabajo de los clientes | Cliente | El cliente es responsable de obtener y mantener las certificaciones de cumplimiento de la industria y las reglamentaciones para los entornos y las cargas de trabajo que son propiedad del cliente. |
| Infraestructura física | ||
| Elementos e instalaciones físicas | Google implementa, administra y mantiene la infraestructura física, la energía y el enfriamiento de las instalaciones, Google Cloud las regiones, los hosts de metal desnudo y el equipo de red. | |
| Supervisión y administración de la capacidad | ||
| Supervisión, administración y planificación de la capacidad | Cliente | El cliente debe supervisar y administrar la capacidad, lo que incluye la planificación y las reservas cuando aprovisiona más VMs o agrega nodos de host. |
| Planificación de la capacidad y aprovisionamiento de recursos de infraestructura | ||
| Cómo garantizar la capacidad | Google garantiza una capacidad suficiente de infraestructura de backend. | |
| Implementación de capacidad | Google implementa capacidad de infraestructura adicional según sea necesario. | |
| Administración del ciclo de vida de la infraestructura | ||
| Infraestructura principal | Google ofrece la infraestructura principal, específicamente la plataforma principal de VMware (ESXi, vCenter, vSAN, NSX) y todos los servicios de redes de acceso, como Cloud VPN y Interconnect, como un servicio. | |
| Infraestructura y cargas de trabajo adicionales | Cliente | El cliente debe administrar todos los componentes de complementos, sistemas operativos y cargas de trabajo. |
| Administración del ciclo de vida de HCX | Cliente | El cliente es responsable de la administración del ciclo de vida de HCX Cloud y los dispositivos de servicio, como HCX-IX Interconnect. |