מודל האחריות המשותפת ב-VMware Engine
בדף הזה מוסבר מה האחריות שלכם כלקוחות Google Cloud VMware Engine ומה האחריות של Google.
מבוא
אבטחה מהימנה ב- Google Cloud מושגת באמצעות חלוקת האחריות בין הלקוחות לבין Google כספקית שירותים. המודל הזה נועד לספק אבטחה גבוהה יותר ולמנוע נקודות כשל בודדות. בקטעים הבאים מפורטים תחומי האחריות לפי תפקיד.
מטריצת אחריות משותפת
בטבלה הבאה מתואר מטריצת האחריות המשותפת, עם פירוט של הפעילויות שמנוהלות על ידי Google ועל ידי הלקוח:
| פעילות | אחריות | תגובות |
|---|---|---|
| מעקב והתראות | ||
| מערכת הפעלה ומכונות וירטואליות (תשתית) | Google עוקבת אחרי התקינות והזמינות של תשתית המכונות הווירטואליות. | |
| מערכת הפעלה של מכונה וירטואלית (VM) ואפליקציות (ביצועים) | לקוח/ה | הלקוח אחראי לספק מומחיות ב-VMware ולפעול בהתאם להנחיות הביצועים של VMware. |
| vSAN | Google עוקבת אחרי התקינות והזמינות של אחסון vSAN. | |
| שכבת-על של הרשת | Google עוקבת אחרי תקינות המכשירים בתשתית NSX (מכשירי Edge Gateway, בקרים) והרשת הבסיסית של התשתית (underlay) שמסופקת באמצעות רשתות VLAN פיזיות. | |
| NSX | לקוח/ה | הלקוח יכול לנהל בעצמו את רשת השכבות שלו באמצעות NSX. כל התכונות של NSX זמינות ומנוהלות על ידי הלקוח. הלקוח יכול להגדיר כללים לחומת אש, כתובות IP ציבוריות ו-VPC peering של שכבת הבסיס. |
| VPN/Site-to-Site IPsec (תקינות השירות) | Google מספקת VPN כשירות באמצעות Cloud VPN ועוקבת אחרי תקינות מכשירי ה-VPN. | |
| VPN/Site-to-Site IPsec (מכשירי VPN מקומיים וב-NSX) | לקוח/ה | הלקוח צריך לעקוב אחרי מכשירים מקומיים, ויכול גם לנהל ולעקוב בעצמו אחרי מכשירי VPN ב-NSX. |
| מארחי ESXi | אם מזוהה צורך בתמיכה בפלטפורמת VMware (ESXi, vCenter, vSAN, NSX) או בתשתית חומרה, Google מספקת תמיכה. | |
| מכשירי אבטחה ורשת | Google Cloud ופלטפורמת VMware מספקות יכולות ברירת מחדל של VPN, שער וחומת אש. Google מנהלת את תקינות המכשירים האלה, והלקוח מנהל את הכלים הספציפיים ללקוח. | |
| HCX | Google עוקבת אחרי התקינות והזמינות של פריסת HCX שמוגדרת כברירת מחדל. | |
| תמיכה | ||
| מערכת הפעלה ואפליקציות של מכונה וירטואלית | לקוח/ה | הלקוח אחראי לתמיכה במערכת ההפעלה או באפליקציה. |
| vSAN | אם מזוהה צורך בתמיכה בפלטפורמת VMware (ESXi, vCenter, vSAN, NSX) או בתשתית חומרה, Google מספקת תמיכה. | |
| שכבת-על של הרשת | Google מספקת תמיכה ברשתות שכבת-על. | |
| מארחי ESXi – חומרה | אם מזוהה צורך בתמיכה בפלטפורמת VMware (ESXi, vCenter, vSAN, NSX) או בתשתית חומרה, Google מספקת תמיכה, כולל החלפת מארח. | |
| מארחי ESXi – תוכנה שמוגדרת כברירת מחדל | כברירת מחדל, Google מנהלת את התוכנה שנפרסת בצומת. | |
| מארחי ESXi – תוכנה שפריסתה מתבצעת על ידי הלקוח | לקוח/ה | הלקוח אחראי לכל תוכנה שהוא פורס עם הרשאות מורחבות (לדוגמה, Zerto). |
| מכשירי אבטחה ורשת | אם מזוהה צורך בתמיכה בפלטפורמת VMware (ESXi, vCenter, vSAN, NSX) או בתשתית חומרה, Google מספקת תמיכה. | |
| NSX | אם מזוהה צורך בתמיכה בפלטפורמת VMware (ESXi, vCenter, vSAN, NSX) או בתשתית חומרה, Google מספקת תמיכה. | |
| VPN/Site-to-Site IPsec (תקינות השירות) | Google מספקת VPN כשירות דרך Cloud VPN. | |
| VPN/Site-to-Site IPsec (מכשירי VPN מקומיים) | לקוח/ה | Google מספקת VPN כשירות דרך Cloud VPN. הלקוח צריך לתמוך במכשירים מקומיים. |
| תמיכה בתוכנה של ISV | לקוח/ה | הלקוח צריך לאשר תמיכה עם ספקי תוכנה עצמאיים (ISV) לפני פריסת תוכנה ספציפית בענן הפרטי. |
| ניהול זהויות | ||
| הטמעה | לקוח/ה | הלקוח יכול לשלב מקורות זהויות מקומיים עם Google Cloud המסוף ועם vCenter. |
| הגדרה וניהול | לקוח/ה | הלקוח מנהל ומגדיר מקורות זהות, כולל ניהול משתמשים ב-vCenter וב-NSX (זהות, בקרת גישה). |
| התקנה והקצאת הרשאות | ||
| עננים פרטיים (פריסה) | לקוח/ה | הלקוח מפעיל את הפריסה של עננים פרטיים דרך המסוף, API או CLI. |
| מארחי ESXi | Google מתקינה ומקצה מארחי ESXi. | |
| vSAN | Google מתקינה את vSAN ומקצה לו משאבים. | |
| vCenter | Google פורסת את vCenter ומבצעת את ההגדרה הבסיסית שלו. | |
| Aria Suite Lifecycle Manager (LCM) | Google פורסת את Aria Suite Lifecycle Manager (LCM) ומבצעת את ההגדרה הבסיסית שלו. | |
| Aria Suite | לקוח/ה | הלקוח אחראי להתקנה ולהקצאת הרשאות של חבילת Aria, שכוללת את VMware Aria Operations, VMware Aria Operations for Networks, VMware Aria Operations for Logs, VMware Aria Automation ו-VMware Identity Manager. |
| מערכת הפעלה ואפליקציות | לקוח/ה | הלקוח מתקין ומקצה מערכות הפעלה ואפליקציות. |
| מסדי נתונים | לקוח/ה | הלקוח מתקין מסדי נתונים ומקצה להם משאבים. |
| מכשירי אבטחה ורשת | Google Cloud ופלטפורמת VMware מספקות יכולות ברירת מחדל של VPN, שער וחומת אש. הלקוח מנהל את כל הכלים הספציפיים ללקוח. | |
| NSX | Google פורסת את NSX ומבצעת את ההגדרה הבסיסית שלו. | |
| VPN/Site-to-Site IPsec | לקוח/ה | הלקוח צריך להקצות Cloud VPN בפרויקט שלו. Google Cloud |
| HCX (פריסה ראשונית) | Google פורסת את HCX ומבצעת את ההגדרה הבסיסית שלו. | |
| העברת עומסי עבודה | לקוח/ה | הלקוח אחראי להעברת מכונות וירטואליות ועומסי עבודה לענן הפרטי ולניהול כלי ההעברה (כמו HCX). |
| גיבוי ושחזור | ||
| שירותי ניהול | Google מנהלת את הגיבוי והשחזור של שירותי הניהול, כולל vCenter Server ו-NSX Manager. העלות לא כוללת עומסי עבודה של לקוחות. | |
| עומסי עבודה של לקוחות | לקוח/ה | הלקוח אחראי להתקנה, להגדרה ולניהול של תוכנת גיבוי עבור סביבות ועומסי עבודה של הלקוח. |
| הגדרה וניהול | ||
| מארחי ESXi | Google מנהלת את ההגדרה של מארחי ESXi. | |
| vSAN (הגדרה ראשונית והגדרת ברירת מחדל) | Google מנהלת את ההגדרה הראשונית של vSAN. | |
| vSAN (הגדרה שאינה ברירת המחדל) | לקוח/ה | הלקוח יכול לשנות את ההגדרה (לדוגמה, לשנות את מדיניות האחסון). |
| vCenter (הגדרה ראשונית) | Google פורסת את vCenter ומבצעת את ההגדרה הבסיסית שלו. | |
| vCenter (התאמה אישית) | לקוח/ה | הלקוח צריך להגדיר מקורות זהויות, משתמשים חיצוניים, מדיניות DRS/HA, מדיניות vSAN, רשתות משנה של NSX ואפליקציות להרחבת הפונקציונליות. |
| Aria Suite Lifecycle Manager (LCM) | Google מנהלת את ההגדרה של Aria Suite Lifecycle Manager (LCM). | |
| Aria Suite | לקוח/ה | הלקוח מנהל את ההגדרה של רכיבי Aria Suite (VMware Aria Operations, VMware Aria Operations for Networks, VMware Aria Operations for Logs, VMware Aria Automation ו-VMware Identity Manager). |
| מערכת הפעלה ואפליקציות | לקוח/ה | הלקוח מנהל את ההגדרות של מערכת ההפעלה והאפליקציות. |
| מסדי נתונים | לקוח/ה | הלקוח מנהל את הגדרות מסד הנתונים. |
| מכשירי אבטחה ורשת | Google מנהלת את ההגדרה של מכשירי אבטחה ורשת כברירת מחדל. | |
| SAN/אחסון | Google מנהלת את רשת אזורי האחסון (SAN) ואת תצורות האחסון. | |
| NSX (הגדרה ראשונית) | Google פורסת את NSX, NSX Edge ו-Controllers ומבצעת את ההגדרה הבסיסית שלהם. | |
| NSX (התאמה אישית) | לקוח/ה | הלקוח צריך להגדיר רשתות משנה, חומות אש/מיקרו-פילוח ומכשירים אופציונליים אחרים, ולבצע ניהול שוטף. |
| VPN/Site-to-Site IPsec | Google מנהלת את ההגדרה של יכולות ברירת המחדל של VPN ו-IPsec מאתר לאתר. | |
| כוונון של מכונות וירטואליות | לקוח/ה | הלקוח חייב לפעול בהתאם להנחיות של VMware בנושא ביצועים. |
| טווחים של רשתות ניהול | לקוח/ה | הלקוח צריך להקצות ולהגדיר את טווח הרשת של CIDR עבור מכשירי ניהול ומשאבים. |
| כלי ניהול הגדרות | לקוח/ה | הלקוח אחראי להתקין ולנהל את כל כלי הניהול של תצורת האורח. |
| תיקון באגים, עדכונים ושדרוגים | ||
| מארחי ESXi – חומרה | Google מטפלת בתיקוני אבטחה, בעדכונים ובשדרוגים של חומרת המארח ESXi. | |
| מארחי ESXi – קושחה | Google מטפלת בתיקונים, בעדכונים ובשדרוגים של קושחת המארח ESXi. | |
| vSAN | Google מטפלת בתיקוני אבטחה, בעדכונים ובשדרוגים של vSAN. | |
| vCenter | Google מטפלת בתיקוני אבטחה, בעדכונים ובשדרוגים של vCenter. | |
| Aria Suite Lifecycle Manager (LCM) | Google מטפלת בתיקוני אבטחה, בעדכונים ובשדרוגים של Aria Suite Lifecycle Manager (LCM). | |
| Aria Suite | לקוח/ה | הלקוח אחראי לתיקון, לעדכונים, לשדרוגים ולתחזוקה של רכיבי Aria Suite (VMware Aria Operations, VMware Aria Operations for Networks, VMware Aria Operations for Logs, VMware Aria Automation ו-VMware Identity Manager) בזמן לאחר קבלת עדכונים מ-Google. |
| מערכת הפעלה ואפליקציות | לקוח/ה | הלקוח אחראי לתיקון, לעדכונים ולשדרוגים של מערכות הפעלה ואפליקציות של מכונות אורחות. |
| מסדי נתונים | לקוח/ה | הלקוח אחראי לתיקון באגים, לעדכונים ולשדרוגים של מסדי הנתונים. |
| מכשירי אבטחה ורשת (הגדרה רגילה) | Google Cloud ופלטפורמת VMware מספקות יכולות ברירת מחדל של VPN, שער וחומת אש. Google מטפלת בתיקוני האבטחה, בעדכונים ובשדרוגים של היכולות האלה. | |
| מכשירי אבטחה ורשת (הגדרה נוספת) | לקוח/ה | הלקוח מנהל את כל הכלים הספציפיים ללקוח. |
| NSX | Google מטפלת בתיקוני אבטחה, בעדכונים ובשדרוגים של NSX. | |
| שדרוגים ושינויים | ||
| VPN/Site-to-Site IPsec (הגדרה ראשונית) | Google משדרגת את התשתית של Cloud VPN. | |
| VPN/Site-to-Site IPsec (התאמה אישית) | לקוח/ה | הלקוח יכול לבצע שינויים. |
| תוכנת אבטחה והגדרות | ||
| מערכת הפעלה ואפליקציות של מכונה וירטואלית | לקוח/ה | הלקוח אחראי לפעול בהתאם לשיטות המומלצות של VMware בנושא אבטחה. |
| כלים לאנטי-וירוס ולאבטחה | לקוח/ה | הלקוח אחראי להתקנה ולניהול של אנטי-וירוס, תוכנת אבטחה ואגנטים בסביבות ובעומסי עבודה של אורחים. |
| הצפנה ב-vSAN (נתונים במנוחה) | לקוח/ה | הלקוח אחראי להשאיר את ההצפנה של נתונים במנוחה ב-vSAN מופעלת ולנהל את מחזור החיים (הרוטציה) של המפתח להצפנת מפתחות הצפנה (KEK). |
| אבטחת ליבת הרשת | ||
| הגדרה ראשונית | הפלטפורמה מספקת תכונות ברירת מחדל כמו חומת אש ומיקרו-פילוח. | |
| התאמה אישית | לקוח/ה | הלקוח צריך להגדיר את התכונות האלה בהתאם למדיניות ולצרכים שלו. |
| עמידה בדרישות | ||
| שירותים ותשתית מנוהלים של Google | Google מקבלת ומחזיקה באישור תאימות לתקנים בתעשייה ולדרישות רגולטוריות עבור שירותים ותשתית שמנוהלים על ידי Google. | |
| סביבות ועומסי עבודה של לקוחות | לקוח/ה | הלקוח אחראי להשגת אישורים על עמידה בתקנים בתחום ובתקנות עבור סביבות ועומסי עבודה בבעלות הלקוח, ולשמירה על האישורים האלה. |
| תשתית פיזית | ||
| מתקנים ורכיבים פיזיים | Google פורסת, מנהלת ומתחזקת את התשתית הפיזית, את אספקת החשמל והקירור במתקן, את האזורים, את המארחים מסוג Bare-metal ואת ציוד הרשת. Google Cloud | |
| מעקב אחר הקיבולת וניהול שלה | ||
| מעקב אחרי הקיבולת, ניהול שלה ותכנון שלה | לקוח/ה | הלקוח צריך לעקוב אחרי הקיבולת ולנהל אותה, כולל תכנון והזמנות כשמבצעים הקצאה של עוד מכונות וירטואליות או כשמוסיפים צמתים של מארחים. |
| תכנון קיבולת והקצאת משאבי תשתית | ||
| הבטחת הקיבולת | Google מוודאת שיש מספיק קיבולת בתשתית העורפית. | |
| פריסת קיבולת | Google פורסת קיבולת נוספת של תשתיות לפי הצורך. | |
| ניהול מחזור החיים של התשתית | ||
| תשתית ליבה | Google מציעה את תשתית הליבה – במיוחד את פלטפורמת הליבה של VMware (ESXi, vCenter, vSAN, NSX) ואת כל שירותי הרשתות לגישה, כמו Cloud VPN ו-Interconnect – כשירות. | |
| תשתיות ועומסי עבודה נוספים | לקוח/ה | הלקוח צריך לנהל את כל רכיבי התוסף, מערכות ההפעלה ועומסי העבודה. |
| ניהול מחזור החיים של HCX | לקוח/ה | הלקוח אחראי לניהול מחזור החיים של HCX Cloud ומכשירי שירות, כמו HCX-IX Interconnect. |
המאמרים הבאים
- סקירה כללית על אבטחה – מידע על אמצעי בקרה לאבטחה ואבטחת תשתית ב-VMware Engine.
- במאמר סקירה כללית של מעקב מוסבר איך מוגדרים מעקב והתראות בסביבות שלכם.
- כדאי לעיין בהודעות בנושא אבטחה ולבדוק את ההמלצות לשדרוגים באמצעות עדכוני האבטחה.