VMware Engine の責任共有モデル
このページでは、Google Cloud VMware Engine をご利用のお客様の責任範囲と、Google の責任範囲について説明します。
はじめに
Google Cloud での信頼できるセキュリティは、サービス プロバイダとしての Google とお客様との責任の共有によって達成されます。このモデルは、より高いセキュリティを提供し、単一障害点を排除することを目的としています。以降のセクションでは、役割別の責任について説明します。
共有責任マトリックス
次の表に、Google とお客様が管理するアクティビティの詳細を示す共有責任マトリックスを示します。
| アクティビティ | 責任範囲 | コメント |
|---|---|---|
| モニタリングとアラート | ||
| VM の OS とアプリケーション(インフラストラクチャ) | Google は、VM インフラストラクチャの健全性と可用性をモニタリングします。 | |
| VM OS とアプリケーション(パフォーマンス) | お客様 | お客様は、VMware の専門知識を提供し、VMware のパフォーマンス ガイドラインに沿って対応する必要があります。 |
| vSAN | Google は、vSAN ストレージの健全性と可用性をモニタリングします。 | |
| ネットワーク オーバーレイ | Google は、NSX インフラストラクチャ デバイス(Edge Gateway デバイス、コントローラ)と、物理 VLAN を介して提供されるインフラストラクチャの基盤となるネットワーキング(アンダーレイ)の健全性をモニタリングします。 | |
| NSX | お客様 | お客様は NSX を使用してオーバーレイ ネットワーキングを自己管理できます。NSX のすべての機能を利用でき、お客様がモニタリングと管理を行います。お客様は、アンダーレイのファイアウォール ルール、パブリック IP アドレス、VPC ピアリングを構成できます。 |
| VPN/サイト間 IPsec(サービスの状態) | Google は、Cloud VPN を使用して VPN をサービスとして提供し、VPN デバイスの健全性をモニタリングします。 | |
| VPN/サイト間 IPsec(オンプレミスと NSX の VPN デバイス) | お客様 | お客様はオンプレミス デバイスをモニタリングする必要があります。また、NSX で VPN デバイスをセルフマネージドでモニタリングすることもできます。 |
| ESXi ホスト | VMware プラットフォーム(ESXi、vCenter、vSAN、NSX)またはインフラストラクチャ ハードウェアのサポートが必要な場合は、Google がサポートを提供します。 | |
| セキュリティ デバイスとネットワーク デバイス | Google Cloud と VMware プラットフォームは、デフォルトの VPN、ゲートウェイ、ファイアウォール機能を提供します。Google はこれらのデバイスの健全性を管理し、お客様は顧客固有のツールを管理します。 | |
| HCX | Google は、デフォルトの HCX デプロイの健全性と可用性をモニタリングします。 | |
| サポート | ||
| VM OS とアプリケーション | お客様 | OS またはアプリケーションのサポートについては、お客様が責任を負います。 |
| vSAN | VMware プラットフォーム(ESXi、vCenter、vSAN、NSX)またはインフラストラクチャ ハードウェアのサポートが必要な場合は、Google がサポートを提供します。 | |
| ネットワーク オーバーレイ | Google はオーバーレイ ネットワークのサポートを提供しています。 | |
| ESXi ホスト - ハードウェア | VMware プラットフォーム(ESXi、vCenter、vSAN、NSX)またはインフラストラクチャ ハードウェアのサポートが必要な場合は、ホストの交換などのサポートを提供します。 | |
| ESXi ホスト - デフォルトのソフトウェア | デフォルトでは、ノードにデプロイされたソフトウェアは Google が管理します。 | |
| ESXi ホスト - お客様がデプロイしたソフトウェア | お客様 | 昇格された権限でデプロイするソフトウェア(Zerto など)はお客様の責任となります。 |
| セキュリティ デバイスとネットワーク デバイス | VMware プラットフォーム(ESXi、vCenter、vSAN、NSX)またはインフラストラクチャ ハードウェアのサポートが必要な場合は、Google がサポートを提供します。 | |
| NSX | VMware プラットフォーム(ESXi、vCenter、vSAN、NSX)またはインフラストラクチャ ハードウェアのサポートが必要な場合は、Google がサポートを提供します。 | |
| VPN/サイト間 IPsec(サービスの状態) | Google は、Cloud VPN を介して VPN をサービスとして提供しています。 | |
| VPN/サイト間 IPsec(オンプレミスの VPN デバイス) | お客様 | Google は、Cloud VPN を介して VPN をサービスとして提供しています。お客様はオンプレミス デバイスをサポートする必要があります。 |
| ISV ソフトウェアのサポート | お客様 | 特定のソフトウェアをプライベート クラウドにデプロイする前に、お客様は独立系ソフトウェア ベンダー(ISV)にサポートを確認する必要があります。 |
| ID 管理 | ||
| 実装 | お客様 | お客様は、オンプレミス ID ソースを Google Cloud コンソールと vCenter に統合できます。 |
| 構成と管理 | お客様 | お客様は、vCenter と NSX のユーザー管理(ID、アクセス制御)を含む ID ソースを管理および構成します。 |
| インストールとプロビジョニング | ||
| プライベート クラウド(デプロイ) | お客様 | お客様は、コンソール、API、CLI を介してプライベート クラウドのデプロイをトリガーします。 |
| ESXi ホスト | Google が ESXi ホストをインストールしてプロビジョニングします。 | |
| vSAN | Google が vSAN をインストールしてプロビジョニングします。 | |
| vCenter | Google は vCenter をデプロイして、基本的な構成を行います。 | |
| Aria Suite Lifecycle Manager(LCM) | Google が Aria Suite Lifecycle Manager(LCM)をデプロイして基本的な構成を行います。 | |
| Aria Suite | お客様 | お客様は、VMware Aria Operations、VMware Aria Operations for Networks、VMware Aria Operations for Logs、VMware Aria Automation、VMware Identity Manager を含む Aria Suite のインストールとプロビジョニングを行う必要があります。 |
| OS とアプリケーション | お客様 | お客様がオペレーティング システムとアプリケーションをインストールしてプロビジョニングします。 |
| データベース | お客様 | お客様がデータベースをインストールしてプロビジョニングします。 |
| セキュリティ デバイスとネットワーク デバイス | Google Cloud と VMware プラットフォームは、デフォルトの VPN、ゲートウェイ、ファイアウォール機能を提供します。お客様は、お客様固有のツールを管理します。 | |
| NSX | Google は NSX をデプロイし、基本的な構成を行います。 | |
| VPN/サイト間 IPsec | お客様 | お客様は、 Google Cloud プロジェクトで Cloud VPN をプロビジョニングする必要があります。 |
| HCX(初期デプロイ) | Google が HCX をデプロイして基本的な構成を行います。 | |
| ワークロードの移行 | お客様 | VM とワークロードのプライベート クラウドへの移行と、移行ツール(HCX など)の管理はお客様の責任となります。 |
| バックアップと復元 | ||
| 管理サービス | Google は、vCenter Server や NSX Manager などの管理サービスのバックアップと復元を管理します。これには、お客様のワークロードは含まれません。 | |
| お客様のワークロード | お客様 | お客様は、お客様の環境とワークロードのバックアップ ソフトウェアのインストール、構成、管理を担当します。 |
| 構成と管理 | ||
| ESXi ホスト | Google が ESXi ホストの構成を管理します。 | |
| vSAN(初期構成とデフォルト構成) | Google が vSAN の初期構成を管理します。 | |
| vSAN(デフォルト以外の構成) | お客様 | お客様は構成を変更できます(ストレージ ポリシーの変更など)。 |
| vCenter(初期構成) | Google は vCenter をデプロイして、基本的な構成を行います。 | |
| vCenter(カスタマイズ) | お客様 | お客様は、ID ソース、外部ユーザー、DRS/HA ポリシー、vSAN ポリシー、NSX サブネット、アドオン アプリケーションを構成する必要があります。 |
| Aria Suite Lifecycle Manager(LCM) | Google は Aria Suite Lifecycle Manager(LCM)の構成を管理します。 | |
| Aria Suite | お客様 | お客様は、Aria Suite コンポーネント(VMware Aria Operations、VMware Aria Operations for Networks、VMware Aria Operations for Logs、VMware Aria Automation、VMware Identity Manager)の構成を管理します。 |
| OS とアプリケーション | お客様 | お客様がオペレーティング システムとアプリケーションの構成を管理します。 |
| データベース | お客様 | お客様がデータベース構成を管理します。 |
| セキュリティ デバイスとネットワーク デバイス | Google は、デフォルトのセキュリティ デバイスとネットワーク デバイスの構成を管理します。 | |
| SAN/ストレージ | Google は、ストレージ エリア ネットワーク(SAN)とストレージ構成を管理します。 | |
| NSX(初期構成) | Google は、NSX、NSX Edge、コントローラのデプロイと基本的な構成を行います。 | |
| NSX(カスタマイズ) | お客様 | お客様は、サブネット、ファイアウォール/マイクロ セグメンテーション、その他のオプションのデバイスを構成し、継続的な管理を行う必要があります。 |
| VPN/サイト間 IPsec | Google は、デフォルトの VPN とサイト間 IPsec 機能の構成を管理します。 | |
| VM のチューニング | お客様 | お客様は VMware のパフォーマンス ガイドラインに沿って操作する必要があります。 |
| 管理ネットワークの範囲 | お客様 | お客様は、管理用アプライアンスとリソースの CIDR ネットワーク範囲を割り当てて定義する必要があります。 |
| 構成管理ツール | お客様 | ゲスト構成管理ツールのインストールと管理は、お客様の責任となります。 |
| パッチの適用、更新、アップグレード | ||
| ESXi ホスト - ハードウェア | Google は、ESXi ホスト ハードウェアのパッチ適用、更新、アップグレードを処理します。 | |
| ESXi ホスト - ファームウェア | ESXi ホスト ファームウェアのパッチ適用、アップデート、アップグレードは Google が行います。 | |
| vSAN | vSAN のパッチ適用、更新、アップグレードは Google が処理します。 | |
| vCenter | vCenter のパッチ適用、更新、アップグレードは Google が処理します。 | |
| Aria Suite Lifecycle Manager(LCM) | Google は、Aria Suite Lifecycle Manager(LCM)のパッチ適用、更新、アップグレードを処理します。 | |
| Aria Suite | お客様 | お客様は、Google から更新を受け取った後、Aria Suite コンポーネント(VMware Aria Operations、VMware Aria Operations for Networks、VMware Aria Operations for Logs、VMware Aria Automation、VMware Identity Manager)のパッチ適用、更新、アップグレード、メンテナンスを適時に行う責任があります。 |
| OS とアプリケーション | お客様 | お客様は、ゲスト オペレーティング システムとアプリケーションのパッチ適用、アップデート、アップグレードを行います。 |
| データベース | お客様 | データベースのパッチ適用、更新、アップグレードはお客様が行います。 |
| セキュリティ デバイスとネットワーク デバイス(標準構成) | Google Cloud と VMware プラットフォームは、デフォルトの VPN、ゲートウェイ、ファイアウォール機能を提供します。これらの機能のパッチ適用、更新、アップグレードは Google が行います。 | |
| セキュリティ デバイスとネットワーク デバイス(追加構成) | お客様 | お客様は、お客様固有のツールを管理します。 |
| NSX | NSX のパッチ適用、更新、アップグレードは Google が行います。 | |
| アップグレードと変更 | ||
| VPN/サイト間 IPsec(初期構成) | Google が Cloud VPN インフラストラクチャをアップグレードします。 | |
| VPN/サイト間 IPsec(カスタマイズ) | お客様 | お客様が変更を行うことができます。 |
| セキュリティ ソフトウェアと構成 | ||
| VM OS とアプリケーション | お客様 | お客様は、VMware のセキュリティのベスト プラクティスに従う責任を負います。 |
| ウイルス対策ツールとセキュリティ ツール | お客様 | ゲスト環境とワークロードでのウイルス対策ソフトウェア、セキュリティ ソフトウェア、エージェントのインストールと管理はお客様の責任です。 |
| vSAN 暗号化(保存データ) | お客様 | vSAN の保存データの暗号化を有効にして、鍵暗号鍵(KEK)のライフサイクル(ローテーション)を管理するのはお客様の責任です。 |
| コア ネットワーク セキュリティ | ||
| 初期構成 | このプラットフォームには、ファイアウォールやマイクロセグメンテーションなどのデフォルト機能が用意されています。 | |
| カスタマイズ | お客様 | お客様は、ポリシーとニーズに合わせてこれらの機能を構成する必要があります。 |
| コンプライアンス | ||
| Google マネージド サービスとインフラストラクチャ | Google は、Google が管理するサービスとインフラストラクチャの業界および規制コンプライアンス認証を取得し、維持します。 | |
| お客様の環境とワークロード | お客様 | お客様が所有する環境とワークロードに関する業界および規制のコンプライアンス認定の取得と維持はお客様の責任です。 |
| 物理インフラストラクチャ | ||
| 物理的な要素と施設 | Google は、物理インフラストラクチャ、施設の電力と冷却、 Google Cloud リージョン、ベアメタル ホスト、ネットワーク機器をデプロイ、管理、保守します。 | |
| 容量のモニタリングと管理 | ||
| 容量のモニタリング、管理、計画 | お客様 | お客様は、VM の追加プロビジョニングやホストノードの追加時に、計画や予約などの容量をモニタリングして管理する必要があります。 |
| キャパシティ プランニングとインフラストラクチャ リソースのプロビジョニング | ||
| 容量の確保 | Google は、十分なバックエンド インフラストラクチャ容量を確保します。 | |
| 容量のデプロイ | Google は、必要に応じて追加のインフラストラクチャ容量をデプロイします。 | |
| インフラストラクチャのライフサイクル管理 | ||
| コア インフラストラクチャ | Google は、コア インフラストラクチャ(具体的には VMware コア プラットフォーム(ESXi、vCenter、vSAN、NSX)と、Cloud VPN や Interconnect などのすべてのアクセス ネットワーキング サービス)をサービスとして提供します。 | |
| 追加のインフラストラクチャとワークロード | お客様 | アドオン コンポーネント、オペレーティング システム、ワークロードはお客様が管理する必要があります。 |
| HCX ライフサイクル管理 | お客様 | お客様は、HCX Cloud や HCX-IX Interconnect などのサービス アプライアンスのライフサイクル管理を担当します。 |
次のステップ
- セキュリティの概要で、VMware Engine のセキュリティ制御とインフラストラクチャのセキュリティについて学習する。
- モニタリングの概要で、環境のモニタリングとアラートがどのように構成されているかを確認します。
- セキュリティ情報を使用して、セキュリティ アドバイザリを確認し、アップグレードの推奨事項を確認します。