Modelo de responsabilidade compartilhada do VMware Engine
Nesta página, descrevemos pelo que você, como cliente do Google Cloud VMware Engine, é responsável e pelo que o Google é responsável.
Introdução
A segurança confiável no Google Cloud é alcançada por meio das responsabilidades compartilhadas de clientes e do Google como provedor de serviços. Esse modelo foi criado para oferecer maior segurança e eliminar pontos únicos de falha. As seções a seguir listam as responsabilidades por função.
Matriz de responsabilidade compartilhada
A tabela a seguir descreve a matriz de responsabilidade compartilhada, detalhando as atividades gerenciadas pelo Google e pelo cliente:
| Atividade | Responsabilidade | Comentários |
|---|---|---|
| Monitoramento e alertas | ||
| SO e aplicativos da VM (infraestrutura) | O Google monitora a integridade e a disponibilidade da infraestrutura de VM. | |
| SO e aplicativos da VM (performance) | Cliente | O cliente é responsável por fornecer experiência em VMware e seguir as diretrizes de desempenho do VMware. |
| vSAN | O Google monitora a integridade e a disponibilidade do armazenamento vSAN. | |
| Sobreposição de rede | O Google monitora a integridade dos dispositivos de infraestrutura do NSX (dispositivos de gateway de borda, controladores) e a rede subjacente da infraestrutura (underlay) fornecida por VLANs físicas. | |
| NSX | Cliente | O cliente pode gerenciar a rede de sobreposição por conta própria usando o NSX. Todos os recursos do NSX estão disponíveis e são monitorados/gerenciados pelo cliente. O cliente pode configurar regras de firewall, endereços IP públicos e peering de VPC da camada de base. |
| VPN/IPsec site a site (integridade do serviço) | O Google oferece VPN como um serviço usando o Cloud VPN e monitora a integridade dos dispositivos de VPN. | |
| VPN/IPsec site a site (dispositivos de VPN locais e no NSX) | Cliente | O cliente precisa monitorar os dispositivos locais e também pode gerenciar e monitorar os dispositivos de VPN no NSX. |
| Hosts ESXi | Se for identificada uma necessidade de suporte para uma plataforma VMware (ESXi, vCenter, vSAN, NSX) ou hardware de infraestrutura, o Google vai fornecer suporte. | |
| Dispositivos de segurança e de rede | Google Cloud e a plataforma VMware oferecem recursos padrão de VPN, gateway e firewall. O Google gerencia a integridade desses dispositivos, e o cliente gerencia as ferramentas específicas dele. | |
| HCX | O Google monitora a integridade e a disponibilidade da implantação padrão do HCX. | |
| Suporte | ||
| SO e aplicativos da VM | Cliente | O cliente é responsável por qualquer suporte de SO ou aplicativo. |
| vSAN | Se for identificada uma necessidade de suporte para uma plataforma VMware (ESXi, vCenter, vSAN, NSX) ou hardware de infraestrutura, o Google vai fornecer suporte. | |
| Sobreposição de rede | O Google oferece suporte para redes de sobreposição. | |
| Hosts ESXi: hardware | Se for identificada uma necessidade de suporte para uma plataforma VMware (ESXi, vCenter, vSAN, NSX) ou hardware de infraestrutura, o Google vai oferecer suporte, incluindo a substituição do host. | |
| Hosts ESXi: software padrão | Por padrão, o Google gerencia o software implantado no nó. | |
| Hosts ESXi: software implantado pelo cliente | Cliente | O cliente é responsável por qualquer software implantado com privilégios elevados (por exemplo, Zerto). |
| Dispositivos de segurança e de rede | Se for identificada uma necessidade de suporte para uma plataforma VMware (ESXi, vCenter, vSAN, NSX) ou hardware de infraestrutura, o Google vai oferecer suporte. | |
| NSX | Se for identificada uma necessidade de suporte para uma plataforma VMware (ESXi, vCenter, vSAN, NSX) ou hardware de infraestrutura, o Google vai oferecer suporte. | |
| VPN/IPsec site a site (integridade do serviço) | O Google oferece VPN como um serviço via Cloud VPN. | |
| VPN/IPsec site a site (dispositivos VPN locais) | Cliente | O Google oferece VPN como um serviço via Cloud VPN. O cliente precisa oferecer suporte a dispositivos locais. |
| Suporte de software de ISV | Cliente | O cliente precisa confirmar o suporte com fornecedores de software independentes (ISVs) antes de implantar um software específico na nuvem privada. |
| Gerenciamento de identidade | ||
| Implementação | Cliente | O cliente pode integrar origens de ID locais ao console do Google Cloud e ao vCenter. |
| Configuração e gerenciamento | Cliente | O cliente gerencia e configura origens de identidade, incluindo o gerenciamento de usuários do vCenter e do NSX (identidade, controle de acesso). |
| Instalação e provisionamento | ||
| Nuvens privadas (implantação) | Cliente | O cliente aciona a implantação de nuvens privadas pelo console, pela API ou pela CLI. |
| Hosts ESXi | O Google instala e provisiona hosts ESXi. | |
| vSAN | O Google instala e provisiona o vSAN. | |
| vCenter | O Google implanta e realiza a configuração básica do vCenter. | |
| vRA | O Google implanta e realiza a configuração básica do vRA. | |
| Log Insight | O Google implanta e realiza a configuração básica do Aria Operations for Logs (antigo vRealize Log Insight). | |
| SO e aplicativos | Cliente | O cliente instala e provisiona sistemas operacionais e aplicativos. |
| Bancos de dados | Cliente | O cliente instala e provisiona bancos de dados. |
| Dispositivos de segurança e de rede | Google Cloud e a plataforma VMware oferecem recursos padrão de VPN, gateway e firewall. O cliente gerencia todas as ferramentas específicas dele. | |
| NSX | O Google implanta e realiza a configuração básica do NSX. | |
| VPN/IPsec site a site | Cliente | O cliente precisa provisionar o Cloud VPN no projeto Google Cloud . |
| HCX (implantação inicial) | O Google implanta e realiza a configuração básica do HCX. | |
| Migração da carga de trabalho | Cliente | O cliente é responsável por migrar VMs e cargas de trabalho para a nuvem privada e gerenciar ferramentas de migração, como o HCX. |
| Backup e restauração | ||
| Serviços de gerenciamento | O Google gerencia o backup e a restauração dos serviços de gerenciamento, incluindo o vCenter Server e o NSX Manager. Isso não inclui cargas de trabalho do cliente. | |
| Cargas de trabalho do cliente | Cliente | O cliente é responsável por instalar, configurar e gerenciar o software de backup para ambientes e cargas de trabalho do cliente. |
| Configuração e gerenciamento | ||
| Hosts ESXi | O Google gerencia a configuração dos hosts ESXi. | |
| vSAN (configuração inicial e padrão) | O Google gerencia a configuração inicial do vSAN. | |
| vSAN (configuração não padrão) | Cliente | O cliente pode mudar a configuração (por exemplo, a política de armazenamento). |
| vCenter (configuração inicial) | O Google implanta e realiza a configuração básica do vCenter. | |
| vCenter (personalização) | Cliente | O cliente precisa configurar fontes de ID, usuários externos, políticas de DRS/HA, políticas de vSAN, sub-redes NSX e aplicativos complementares. |
| vRA | O Google gerencia a configuração do vRA. | |
| Log Insight | O Google gerencia a configuração do Aria Operations for Logs. | |
| SO e aplicativos | Cliente | O cliente gerencia as configurações do sistema operacional e dos aplicativos. |
| Bancos de dados | Cliente | O cliente gerencia as configurações do banco de dados. |
| Dispositivos de segurança e de rede | O Google gerencia a configuração dos dispositivos de rede e segurança padrão. | |
| SAN/armazenamento | O Google gerencia a rede de área de armazenamento (SAN) e as configurações de armazenamento. | |
| NSX (configuração inicial) | O Google implanta e realiza a configuração básica do NSX, do NSX Edge e dos controladores. | |
| NSX (personalização) | Cliente | O cliente precisa configurar sub-redes, firewalls/microssegmentação e outros dispositivos opcionais, além de realizar o gerenciamento contínuo. |
| VPN/IPsec site a site | O Google gerencia a configuração dos recursos padrão de VPN e IPsec site a site. | |
| Ajuste de VM | Cliente | O cliente precisa seguir as diretrizes de performance do VMware. |
| Intervalos de rede de gerenciamento | Cliente | O cliente precisa alocar e definir o intervalo de rede CIDR para dispositivos e recursos de gerenciamento. |
| Ferramentas de gerenciamento de configurações | Cliente | O cliente é responsável por instalar e gerenciar ferramentas de gerenciamento de configuração de convidados. |
| Patches, atualizações e upgrades | ||
| Hosts ESXi: hardware | O Google lida com patches, atualizações e upgrades para o hardware do host ESXi. | |
| Hosts ESXi: firmware | O Google lida com patches, atualizações e upgrades para o firmware do host ESXi. | |
| vSAN | O Google cuida de patches, atualizações e upgrades do vSAN. | |
| vCenter | O Google lida com patches, atualizações e upgrades do vCenter. | |
| vRA | O Google cuida de patches, atualizações e upgrades do vRA. | |
| Log Insight | O Google cuida de patches, atualizações e upgrades do Aria Operations para registros. | |
| SO e aplicativos | Cliente | O cliente lida com patches, atualizações e upgrades para sistemas operacionais e aplicativos convidados. |
| Bancos de dados | Cliente | O cliente lida com patches, atualizações e upgrades para bancos de dados. |
| Dispositivos de segurança e rede (configuração padrão) | Google Cloud e a plataforma VMware oferecem recursos padrão de VPN, gateway e firewall. O Google cuida dos patches, das atualizações e dos upgrades desses recursos. | |
| Dispositivos de segurança e rede (configuração adicional) | Cliente | O cliente gerencia todas as ferramentas específicas dele. |
| NSX | O Google lida com patches, atualizações e upgrades do NSX. | |
| Upgrades e modificações | ||
| VPN/IPsec site a site (configuração inicial) | O Google faz upgrade na infraestrutura do Cloud VPN. | |
| VPN/IPsec site a site (personalização) | Cliente | O cliente pode fazer modificações. |
| Software e configuração de segurança | ||
| SO e aplicativos da VM | Cliente | O cliente é responsável por seguir as práticas recomendadas de segurança do VMware. |
| Ferramentas de segurança e antivírus | Cliente | O cliente é responsável por instalar e gerenciar antivírus, software de segurança e agentes em ambientes e cargas de trabalho convidados. |
| Criptografia vSAN (dados em repouso) | Cliente | O cliente é responsável por manter a criptografia de dados em repouso do vSAN ativada e gerenciar o ciclo de vida (rotação) da chave de criptografia de chaves (KEK). |
| Segurança de rede principal | ||
| Configuração inicial | A plataforma oferece recursos padrão, como firewall e microsegmentação. | |
| Personalização | Cliente | O cliente precisa configurar esses recursos de acordo com as políticas e necessidades dele. |
| Compliance | ||
| Serviços e infraestrutura gerenciados pelo Google | O Google adquire e mantém certificações de compliance regulatório e do setor para serviços e infraestrutura gerenciados pelo Google. | |
| Ambientes e cargas de trabalho do cliente | Cliente | O cliente é responsável por adquirir e manter certificações de compliance regulatório e do setor para ambientes e cargas de trabalho de propriedade do cliente. |
| Infraestrutura física | ||
| Elementos e instalações físicas | O Google implanta, gerencia e mantém a infraestrutura física, a energia e o resfriamento das instalações, as regiões Google Cloud , os hosts bare metal e os equipamentos de rede. | |
| Monitoramento e gerenciamento de capacidade | ||
| Monitoramento, gerenciamento e planejamento de capacidade | Cliente | O cliente precisa monitorar e gerenciar a capacidade, incluindo planejamento e reservas ao provisionar mais VMs ou adicionar nós de host. |
| Planejamento de capacidade e provisionamento de recursos de infraestrutura | ||
| Garantir a capacidade | O Google garante capacidade suficiente de infraestrutura de back-end. | |
| Implantação de capacidade | O Google implanta capacidade de infraestrutura adicional conforme necessário. | |
| Gerenciamento do ciclo de vida da infraestrutura | ||
| Infraestrutura principal | O Google oferece a infraestrutura principal, especificamente a plataforma principal do VMware (ESXi, vCenter, vSAN, NSX) e todos os serviços de rede de acesso, como Cloud VPN e Interconnect, como um serviço. | |
| Infraestrutura e cargas de trabalho adicionais | Cliente | O cliente precisa gerenciar todos os componentes complementares, sistemas operacionais e cargas de trabalho. |
| Gerenciamento do ciclo de vida do HCX | Cliente | O cliente é responsável pelo gerenciamento do ciclo de vida do HCX Cloud e dos dispositivos de serviço, como o HCX-IX Interconnect. |