VMware Engine 공유 책임 모델
이 페이지에서는 Google Cloud VMware Engine 고객의 책임과 Google의 책임을 설명합니다.
소개
Google Cloud 에서 신뢰할 수 있는 보안은 서비스 제공업체로서 Google 및 고객의 공유 책임을 통해 이루어집니다. 이 모델은 보안을 강화하고 단일 장애점을 제거하기 위한 것입니다. 다음 섹션에는 역할별 책임이 나열되어 있습니다.
공유 책임 매트릭스
다음 표에서는 Google과 고객이 관리하는 활동을 자세히 설명하는 공유 책임 매트릭스를 설명합니다.
| 활동 | 책임 | 댓글 |
|---|---|---|
| 모니터링 및 알림 | ||
| VM OS 및 애플리케이션 (인프라) | Google은 VM 인프라의 상태와 가용성을 모니터링합니다. | |
| VM OS 및 애플리케이션 (성능) | 고객 | 고객은 VMware 전문성을 제공하고 VMware 성능 가이드라인을 따라야 합니다. |
| vSAN | Google은 vSAN 스토리지의 상태와 가용성을 모니터링합니다. | |
| 네트워크 오버레이 | Google은 NSX 인프라 기기 (Edge Gateway 기기, 컨트롤러)와 물리적 VLAN을 통해 제공되는 인프라의 기본 네트워킹 (언더레이) 상태를 모니터링합니다. | |
| NSX | 고객 | 고객은 NSX를 통해 오버레이 네트워킹을 직접 관리할 수 있습니다. NSX의 모든 기능을 사용할 수 있으며 고객이 모니터링/관리합니다. 고객은 언더레이의 방화벽 규칙, 공개 IP 주소, VPC 피어링을 구성할 수 있습니다. |
| VPN/사이트 간 IPsec (서비스 상태) | Google은 Cloud VPN을 사용하여 VPN을 서비스로 제공하고 VPN 기기의 상태를 모니터링합니다. | |
| VPN/사이트 간 IPsec (온프레미스 및 NSX의 VPN 기기) | 고객 | 고객은 온프레미스 기기를 모니터링해야 하며 NSX에서 VPN 기기를 자체 관리하고 모니터링할 수도 있습니다. |
| ESXi 호스트 | VMware 플랫폼 (ESXi, vCenter, vSAN, NSX) 또는 인프라 하드웨어 지원이 필요한 경우 Google에서 지원을 제공합니다. | |
| 보안 및 네트워크 기기 | Google Cloud 및 VMware 플랫폼은 기본 VPN, 게이트웨이, 방화벽 기능을 제공합니다. Google은 이러한 기기의 상태를 관리하고 고객은 고객별 도구를 관리합니다. | |
| HCX | Google은 기본 HCX 배포의 상태와 가용성을 모니터링합니다. | |
| 지원 | ||
| VM OS 및 애플리케이션 | 고객 | 운영체제 또는 애플리케이션 지원은 고객이 담당합니다. |
| vSAN | VMware 플랫폼 (ESXi, vCenter, vSAN, NSX) 또는 인프라 하드웨어 지원이 필요한 경우 Google에서 지원을 제공합니다. | |
| 네트워크 오버레이 | Google은 오버레이 네트워킹을 지원합니다. | |
| ESXi 호스트 - 하드웨어 | VMware 플랫폼 (ESXi, vCenter, vSAN, NSX) 또는 인프라 하드웨어 지원이 필요한 경우 Google에서 호스트 교체를 비롯한 지원을 제공합니다. | |
| ESXi 호스트 - 기본 소프트웨어 | Google은 기본적으로 노드에 배포된 소프트웨어를 관리합니다. | |
| ESXi 호스트 - 고객 배포 소프트웨어 | 고객 | 고객은 승격된 권한으로 배포하는 모든 소프트웨어 (예: Zerto)에 대한 책임이 있습니다. |
| 보안 및 네트워크 기기 | VMware 플랫폼 (ESXi, vCenter, vSAN, NSX) 또는 인프라 하드웨어 지원이 필요한 경우 Google에서 지원을 제공합니다. | |
| NSX | VMware 플랫폼 (ESXi, vCenter, vSAN, NSX) 또는 인프라 하드웨어 지원이 필요한 경우 Google에서 지원을 제공합니다. | |
| VPN/사이트 간 IPsec (서비스 상태) | Google은 Cloud VPN을 통해 VPN을 서비스로 제공합니다. | |
| VPN/사이트 간 IPsec (온프레미스 VPN 기기) | 고객 | Google은 Cloud VPN을 통해 VPN을 서비스로 제공합니다. 고객이 온프레미스 기기를 지원해야 합니다. |
| ISV 소프트웨어 지원 | 고객 | 고객은 프라이빗 클라우드에 특정 소프트웨어를 배포하기 전에 독립 소프트웨어 공급업체 (ISV)의 지원을 확인해야 합니다. |
| ID 관리 | ||
| 구현 | 고객 | 고객은 온프레미스 ID 소스를 Google Cloud 콘솔 및 vCenter와 통합할 수 있습니다. |
| 구성 및 관리 | 고객 | 고객이 vCenter 및 NSX 사용자 관리 (ID, 액세스 제어)를 비롯한 ID 소스를 관리하고 구성합니다. |
| 설치 및 프로비저닝 | ||
| 프라이빗 클라우드 (배포) | 고객 | 고객이 콘솔, API 또는 CLI를 통해 프라이빗 클라우드 배포를 트리거합니다. |
| ESXi 호스트 | Google에서 ESXi 호스트를 설치하고 프로비저닝합니다. | |
| vSAN | Google에서 vSAN을 설치하고 프로비저닝합니다. | |
| vCenter | Google에서 vCenter를 배포하고 기본 구성을 실행합니다. | |
| vRA | Google에서 vRA를 배포하고 기본 구성을 실행합니다. | |
| Log Insight | Google에서 Aria Operations for Logs (이전 명칭: vRealize Log Insight)를 배포하고 기본 구성을 실행합니다. | |
| OS 및 애플리케이션 | 고객 | 고객이 운영체제와 애플리케이션을 설치하고 프로비저닝합니다. |
| 데이터베이스 | 고객 | 고객이 데이터베이스를 설치하고 프로비저닝합니다. |
| 보안 및 네트워크 기기 | Google Cloud 및 VMware 플랫폼은 기본 VPN, 게이트웨이, 방화벽 기능을 제공합니다. 고객이 고객별 도구를 관리합니다. | |
| NSX | Google에서 NSX를 배포하고 기본 구성을 실행합니다. | |
| VPN/사이트 간 IPsec | 고객 | 고객은 Google Cloud 프로젝트에서 Cloud VPN을 프로비저닝해야 합니다. |
| HCX (초기 배포) | Google에서 HCX를 배포하고 기본 구성을 실행합니다. | |
| 워크로드 마이그레이션 | 고객 | 고객은 VM과 워크로드를 프라이빗 클라우드로 마이그레이션하고 마이그레이션 도구 (예: HCX)를 관리해야 합니다. |
| 백업 및 복원 | ||
| 관리 서비스 | Google은 vCenter Server 및 NSX Manager를 비롯한 관리 서비스의 백업 및 복원을 관리합니다. 여기에는 고객 워크로드가 포함되지 않습니다. | |
| 고객 워크로드 | 고객 | 고객은 고객 환경 및 워크로드의 백업 소프트웨어를 설치, 구성, 관리할 책임이 있습니다. |
| 구성 및 관리 | ||
| ESXi 호스트 | Google에서 ESXi 호스트 구성을 관리합니다. | |
| vSAN (초기 및 기본 구성) | Google에서 vSAN 초기 구성을 관리합니다. | |
| vSAN (기본값이 아닌 구성) | 고객 | 고객이 구성을 변경할 수 있습니다 (예: 스토리지 정책 변경). |
| vCenter (초기 구성) | Google에서 vCenter를 배포하고 기본 구성을 실행합니다. | |
| vCenter (맞춤설정) | 고객 | 고객은 ID 소스, 외부 사용자, DRS/HA 정책, vSAN 정책, NSX 서브넷, 부가기능 애플리케이션을 구성해야 합니다. |
| vRA | Google에서 vRA 구성을 관리합니다. | |
| Log Insight | Google에서 로그용 Aria Operations 구성을 관리합니다. | |
| OS 및 애플리케이션 | 고객 | 고객이 운영체제 및 애플리케이션 구성을 관리합니다. |
| 데이터베이스 | 고객 | 고객이 데이터베이스 구성을 관리합니다. |
| 보안 및 네트워크 기기 | Google은 기본 보안 및 네트워크 기기의 구성을 관리합니다. | |
| SAN/스토리지 | Google은 스토리지 영역 네트워크 (SAN) 및 스토리지 구성을 관리합니다. | |
| NSX (초기 구성) | Google에서 NSX, NSX Edge, 컨트롤러를 배포하고 기본 구성을 실행합니다. | |
| NSX (맞춤설정) | 고객 | 고객이 서브넷, 방화벽/마이크로 세분화, 기타 선택적 기기를 구성하고 지속적인 관리를 수행해야 합니다. |
| VPN/사이트 간 IPsec | Google은 기본 VPN 및 사이트 간 IPsec 기능의 구성을 관리합니다. | |
| VM 조정 | 고객 | 고객은 VMware 성능 가이드라인을 따라야 합니다. |
| 관리 네트워크 범위 | 고객 | 고객은 관리 어플라이언스 및 리소스의 CIDR 네트워크 범위를 할당하고 정의해야 합니다. |
| 구성 관리 도구 | 고객 | 게스트 구성 관리 도구를 설치하고 관리하는 것은 고객의 책임입니다. |
| 패치, 업데이트, 업그레이드 | ||
| ESXi 호스트 - 하드웨어 | Google은 ESXi 호스트 하드웨어의 패치, 업데이트, 업그레이드를 처리합니다. | |
| ESXi 호스트 - 펌웨어 | Google은 ESXi 호스트 펌웨어의 패치, 업데이트, 업그레이드를 처리합니다. | |
| vSAN | Google은 vSAN의 패치, 업데이트, 업그레이드를 처리합니다. | |
| vCenter | Google에서 vCenter의 패치, 업데이트, 업그레이드를 처리합니다. | |
| vRA | Google은 vRA의 패치, 업데이트, 업그레이드를 처리합니다. | |
| Log Insight | Google은 Aria Operations for Logs의 패치, 업데이트, 업그레이드를 처리합니다. | |
| OS 및 애플리케이션 | 고객 | 고객이 게스트 운영체제 및 애플리케이션의 패치, 업데이트, 업그레이드를 처리합니다. |
| 데이터베이스 | 고객 | 고객이 데이터베이스의 패치, 업데이트, 업그레이드를 처리합니다. |
| 보안 및 네트워크 기기 (표준 구성) | Google Cloud 및 VMware 플랫폼은 기본 VPN, 게이트웨이, 방화벽 기능을 제공합니다. Google은 이러한 기능의 패치, 업데이트, 업그레이드를 처리합니다. | |
| 보안 및 네트워크 기기 (추가 구성) | 고객 | 고객이 고객별 도구를 관리합니다. |
| NSX | Google은 NSX의 패치, 업데이트, 업그레이드를 처리합니다. | |
| 업그레이드 및 수정 | ||
| VPN/사이트 간 IPsec (초기 구성) | Google에서 Cloud VPN 인프라를 업그레이드합니다. | |
| VPN/사이트 간 IPsec (맞춤설정) | 고객 | 고객이 수정할 수 있습니다. |
| 보안 소프트웨어 및 구성 | ||
| VM OS 및 애플리케이션 | 고객 | 고객은 VMware 보안 권장사항을 따라야 합니다. |
| 바이러스 백신 및 보안 도구 | 고객 | 고객은 게스트 환경 및 워크로드에 바이러스 백신, 보안 소프트웨어, 에이전트를 설치하고 관리해야 합니다. |
| vSAN 암호화 (저장 데이터) | 고객 | 고객은 vSAN 저장 데이터 암호화를 사용 설정하고 키 암호화 키 (KEK)의 수명 주기 (순환)를 관리해야 합니다. |
| 핵심 네트워크 보안 | ||
| 초기 구성 | 이 플랫폼은 방화벽 및 마이크로세그먼테이션과 같은 기본 기능을 제공합니다. | |
| 맞춤설정 | 고객 | 고객은 정책과 필요에 맞게 이러한 기능을 구성해야 합니다. |
| 규정 준수 | ||
| Google 관리 서비스 및 인프라 | Google은 Google에서 관리하는 서비스와 인프라 관련 업계 및 규정 준수 인증을 취득하고 유지합니다. | |
| 고객 환경 및 워크로드 | 고객 | 고객은 고객 소유 환경 및 워크로드에 대한 업계 및 규정 준수 인증을 획득하고 유지할 책임이 있습니다. |
| 물리적 인프라 | ||
| 물리적 요소 및 시설 | Google은 실제 인프라, 시설 전력 및 냉각, Google Cloud 리전, 베어메탈 호스트,네트워크 장비를 배포, 관리, 유지보수합니다. | |
| 용량 모니터링 및 관리 | ||
| 용량 모니터링, 관리, 계획 | 고객 | 고객은 VM을 추가로 프로비저닝하거나 호스트 노드를 추가할 때 계획 및 예약을 포함하여 용량을 모니터링하고 관리해야 합니다. |
| 용량 계획 및 인프라 리소스 프로비저닝 | ||
| 용량 보장 | Google은 충분한 백엔드 인프라 용량을 보장합니다. | |
| 용량 배포 | Google은 필요에 따라 추가 인프라 용량을 배포합니다. | |
| 인프라 수명 주기 관리 | ||
| 핵심 인프라 | Google은 핵심 인프라, 특히 VMware 핵심 플랫폼 (ESXi, vCenter, vSAN, NSX)과 Cloud VPN, Interconnect와 같은 모든 액세스 네트워킹 서비스를 서비스로 제공합니다. | |
| 추가 인프라 및 워크로드 | 고객 | 고객은 부가기능 구성요소, 운영체제, 워크로드를 관리해야 합니다. |
| HCX 수명 주기 관리 | 고객 | HCX-IX Interconnect와 같은 HCX Cloud 및 서비스 어플라이언스의 수명 주기 관리에 대한 책임은 고객에게 있습니다. |