Modell der gemeinsamen Verantwortung für VMware Engine
Auf dieser Seite wird beschrieben, wofür Sie als Google Cloud VMware Engine-Kunde verantwortlich sind und wofür Google verantwortlich ist.
Einführung
Vertrauenswürdige Sicherheit in Google Cloud wird durch die gemeinsame Verantwortung von Kunden und Google als Dienstanbieter erreicht. Dieses Modell soll für mehr Sicherheit sorgen und Single Points of Failure vermeiden. In den folgenden Abschnitten sind die Verantwortlichkeiten nach Rolle aufgeführt.
Matrix der gemeinsamen Verantwortung
In der folgenden Tabelle wird die Matrix der gemeinsamen Verantwortung beschrieben, in der die von Google und dem Kunden verwalteten Aktivitäten aufgeführt sind:
| Aktivität | Zuständigkeit | Kommentare |
|---|---|---|
| Monitoring und Benachrichtigungen | ||
| VM-Betriebssystem und -Anwendungen (Infrastruktur) | Google überwacht den Zustand und die Verfügbarkeit der VM-Infrastruktur. | |
| VM-Betriebssystem und -Anwendungen (Leistung) | Kunde | Der Kunde ist für die Bereitstellung von VMware-Expertise und die Einhaltung der VMware-Leistungsrichtlinien verantwortlich. |
| vSAN | Google überwacht den Zustand und die Verfügbarkeit von vSAN-Speicher. | |
| Netzwerk-Overlay | Google überwacht den Zustand von NSX-Infrastrukturgeräten (Edge-Gateway-Geräte, Controller) und des zugrunde liegenden Netzwerks der Infrastruktur (Underlay), das über physische VLANs bereitgestellt wird. | |
| NSX | Kunde | Der Kunde kann sein Overlay-Netzwerk selbst über NSX verwalten. Alle Funktionen von NSX sind verfügbar und werden vom Kunden überwacht/verwaltet. Der Kunde kann Firewallregeln, öffentliche IP-Adressen und VPC-Peering des Underlays konfigurieren. |
| VPN/Site-to-Site-IPsec (Dienststatus) | Google bietet VPN als Dienst über Cloud VPN an und überwacht den Zustand der VPN-Geräte. | |
| VPN/Site-to-Site-IPsec (VPN-Geräte lokal und in NSX) | Kunde | Der Kunde muss lokale Geräte überwachen und kann auch VPN-Geräte in NSX selbst verwalten und überwachen. |
| ESXi-Hosts | Wenn Support für eine VMware-Plattform (ESXi, vCenter, vSAN, NSX) oder Infrastrukturhardware erforderlich ist, bietet Google Support. | |
| Sicherheits- und Netzwerkgeräte | Google Cloud und die VMware-Plattform bieten standardmäßige VPN-, Gateway- und Firewallfunktionen. Google verwaltet die Integrität dieser Geräte und der Kunde verwaltet alle kundenspezifischen Tools. | |
| HCX | Google überwacht den Zustand und die Verfügbarkeit der Standard-HCX-Bereitstellung. | |
| Support | ||
| VM-Betriebssystem und -Anwendungen | Kunde | Der Kunde ist für den Support für Betriebssysteme oder Anwendungen verantwortlich. |
| vSAN | Wenn Support für eine VMware-Plattform (ESXi, vCenter, vSAN, NSX) oder Infrastrukturhardware erforderlich ist, bietet Google Support. | |
| Netzwerk-Overlay | Google bietet Support für Overlay-Netzwerke. | |
| ESXi-Hosts – Hardware | Wenn Support für eine VMware-Plattform (ESXi, vCenter, vSAN, NSX) oder Infrastrukturhardware erforderlich ist, bietet Google Support, einschließlich des Host-Austauschs. | |
| ESXi-Hosts – Standardsoftware | Google verwaltet standardmäßig die auf dem Knoten bereitgestellte Software. | |
| ESXi-Hosts – vom Kunden bereitgestellte Software | Kunde | Der Kunde ist für alle Software verantwortlich, die er mit erhöhten Berechtigungen bereitstellt (z. B. Zerto). |
| Sicherheits- und Netzwerkgeräte | Wenn Support für eine VMware-Plattform (ESXi, vCenter, vSAN, NSX) oder Infrastrukturhardware erforderlich ist, bietet Google Support. | |
| NSX | Wenn Support für eine VMware-Plattform (ESXi, vCenter, vSAN, NSX) oder Infrastrukturhardware erforderlich ist, bietet Google Support. | |
| VPN/Site-to-Site-IPsec (Dienststatus) | Google bietet VPN als Dienst über Cloud VPN an. | |
| VPN/Site-to-Site-IPsec (VPN-Geräte lokal) | Kunde | Google bietet VPN als Dienst über Cloud VPN an. Der Kunde muss lokale Geräte unterstützen. |
| ISV-Softwaresupport | Kunde | Der Kunde muss den Support durch unabhängige Softwareanbieter (Independent Software Vendors, ISVs) bestätigen, bevor er bestimmte Software in der privaten Cloud bereitstellt. |
| Identitätsverwaltung | ||
| Implementierung | Kunde | Der Kunde kann lokale Identitätsquellen in die Google Cloud -Konsole und in vCenter einbinden. |
| Konfiguration und Verwaltung | Kunde | Der Kunde verwaltet und konfiguriert Identitätsquellen, einschließlich der vCenter- und NSX-Nutzerverwaltung (Identität, Zugriffssteuerung). |
| Installation und Bereitstellung | ||
| Private Clouds (Bereitstellung) | Kunde | Der Kunde löst die Bereitstellung privater Clouds über die Console, API oder CLI aus. |
| ESXi-Hosts | Google installiert und stellt ESXi-Hosts bereit. | |
| vSAN | Google installiert und stellt vSAN bereit. | |
| vCenter | Google stellt vCenter bereit und führt die grundlegende Konfiguration durch. | |
| vRA | Google stellt vRA bereit und führt die grundlegende Konfiguration durch. | |
| Log-Einblicke | Google stellt Aria Operations for Logs (früher vRealize Log Insight) bereit und führt die grundlegende Konfiguration durch. | |
| Betriebssystem und Anwendungen | Kunde | Der Kunde installiert und stellt Betriebssysteme und Anwendungen bereit. |
| Datenbanken | Kunde | Der Kunde installiert und stellt Datenbanken bereit. |
| Sicherheits- und Netzwerkgeräte | Google Cloud und die VMware-Plattform bieten standardmäßige VPN-, Gateway- und Firewallfunktionen. Der Kunde verwaltet alle kundenspezifischen Tools. | |
| NSX | Google stellt NSX bereit und führt die grundlegende Konfiguration durch. | |
| VPN/Site-to-Site-IPsec | Kunde | Der Kunde muss Cloud VPN in seinem Google Cloud -Projekt bereitstellen. |
| HCX (Erstbereitstellung) | Google stellt HCX bereit und führt die grundlegende Konfiguration durch. | |
| Migration von Arbeitslasten | Kunde | Der Kunde ist für die Migration von VMs und Arbeitslasten in die private Cloud und die Verwaltung von Migrationstools (z. B. HCX) verantwortlich. |
| Sichern und wiederherstellen | ||
| Verwaltungsdienste | Google verwaltet die Sicherung und Wiederherstellung von Verwaltungsdiensten, einschließlich vCenter Server und NSX Manager. Kundenspezifische Arbeitslasten sind nicht enthalten. | |
| Kundenarbeitslasten | Kunde | Der Kunde ist für die Installation, Konfiguration und Verwaltung der Sicherungssoftware für Kundenumgebungen und ‑arbeitslasten verantwortlich. |
| Konfiguration und Verwaltung | ||
| ESXi-Hosts | Google verwaltet die Konfiguration von ESXi-Hosts. | |
| vSAN (Erst- und Standardkonfiguration) | Google verwaltet die anfängliche vSAN-Konfiguration. | |
| vSAN (nicht standardmäßige Konfiguration) | Kunde | Der Kunde kann die Konfiguration ändern, z. B. die Speicherrichtlinie. |
| vCenter (Erstkonfiguration) | Google stellt vCenter bereit und führt die grundlegende Konfiguration durch. | |
| vCenter (Anpassung) | Kunde | Der Kunde muss ID-Quellen, externe Nutzer, DRS-/HA-Richtlinien, vSAN-Richtlinien, NSX-Subnetze und Add-on-Anwendungen konfigurieren. |
| vRA | Google verwaltet die vRA-Konfiguration. | |
| Log-Einblicke | Google verwaltet die Konfiguration von Aria Operations for Logs. | |
| Betriebssystem und Anwendungen | Kunde | Der Kunde verwaltet Betriebssystem- und Anwendungskonfigurationen. |
| Datenbanken | Kunde | Der Kunde verwaltet Datenbankkonfigurationen. |
| Sicherheits- und Netzwerkgeräte | Google verwaltet die Konfiguration von Standard-Sicherheits- und Netzwerkgeräten. | |
| SAN/Speicher | Google verwaltet Storage Area Networks (SAN) und Speicherkonfigurationen. | |
| NSX (Erstkonfiguration) | Google stellt NSX, NSX Edge und Controller bereit und führt die grundlegende Konfiguration durch. | |
| NSX (Anpassung) | Kunde | Der Kunde muss Subnetze, Firewalls/Mikrosegmentierung und andere optionale Geräte konfigurieren und die laufende Verwaltung übernehmen. |
| VPN/Site-to-Site-IPsec | Google verwaltet die Konfiguration der Standard-VPN- und Site-to-Site-IPsec-Funktionen. | |
| VM-Optimierung | Kunde | Der Kunde muss die VMware-Leistungsrichtlinien einhalten. |
| Verwaltungsnetzwerkbereiche | Kunde | Der Kunde muss den CIDR-Netzwerkbereich für Verwaltungs-Appliances und ‑Ressourcen zuweisen und definieren. |
| Tools zur Konfigurationsverwaltung | Kunde | Der Kunde ist für die Installation und Verwaltung aller Tools zur Verwaltung von Gastkonfigurationen verantwortlich. |
| Patches, Updates und Upgrades | ||
| ESXi-Hosts – Hardware | Google kümmert sich um Patches, Updates und Upgrades für die ESXi-Hosthardware. | |
| ESXi-Hosts – Firmware | Google kümmert sich um Patches, Updates und Upgrades für die ESXi-Host-Firmware. | |
| vSAN | Google kümmert sich um Patches, Updates und Upgrades für vSAN. | |
| vCenter | Google kümmert sich um Patches, Updates und Upgrades für vCenter. | |
| vRA | Google kümmert sich um Patches, Updates und Upgrades für vRA. | |
| Log-Einblicke | Google kümmert sich um das Patchen, Aktualisieren und Upgraden von Aria Operations for Logs. | |
| Betriebssystem und Anwendungen | Kunde | Der Kunde kümmert sich um das Patchen, Aktualisieren und Upgraden von Gastbetriebssystemen und Anwendungen. |
| Datenbanken | Kunde | Der Kunde kümmert sich um Patches, Updates und Upgrades für Datenbanken. |
| Sicherheits- und Netzwerkgeräte (Standardkonfiguration) | Google Cloud und die VMware-Plattform bieten standardmäßige VPN-, Gateway- und Firewallfunktionen. Google kümmert sich um das Patchen, Aktualisieren und Upgraden dieser Funktionen. | |
| Sicherheits- und Netzwerkgeräte (zusätzliche Konfiguration) | Kunde | Der Kunde verwaltet alle kundenspezifischen Tools. |
| NSX | Google kümmert sich um Patches, Updates und Upgrades für NSX. | |
| Upgrades und Änderungen | ||
| VPN/Site-to-Site-IPsec (Erstkonfiguration) | Google führt ein Upgrade der Cloud VPN-Infrastruktur durch. | |
| VPN/Site-to-Site-IPsec (Anpassung) | Kunde | Der Kunde kann Änderungen vornehmen. |
| Sicherheitssoftware und ‑konfiguration | ||
| VM-Betriebssystem und -Anwendungen | Kunde | Der Kunde ist dafür verantwortlich, die VMware-Best Practices für die Sicherheit einzuhalten. |
| Antiviren- und Sicherheitstools | Kunde | Der Kunde ist für die Installation und Verwaltung von Antiviren-, Sicherheitssoftware und Agents in Gastumgebungen und Arbeitslasten verantwortlich. |
| vSAN-Verschlüsselung (ruhende Daten) | Kunde | Der Kunde ist dafür verantwortlich, die Verschlüsselung inaktiver vSAN-Daten aktiviert zu lassen und den Lebenszyklus (Rotation) des Schlüsselverschlüsselungsschlüssels (Key Encryption Key, KEK) zu verwalten. |
| Sicherheit des Kernnetzwerks | ||
| Erstkonfiguration | Die Plattform bietet Standardfunktionen wie Firewall und Mikrosegmentierung. | |
| Anpassung | Kunde | Der Kunde muss diese Funktionen entsprechend seinen Richtlinien und Anforderungen konfigurieren. |
| Compliance | ||
| Von Google verwaltete Dienste und Infrastruktur | Google erwirbt und pflegt Zertifizierungen zur Einhaltung von Branchen- und behördlichen Vorschriften für von Google verwaltete Dienste und Infrastruktur. | |
| Kundenumgebungen und ‑arbeitslasten | Kunde | Der Kunde ist für die Beschaffung und Aufrechterhaltung von Branchen- und Compliance-Zertifizierungen für seine eigenen Umgebungen und Arbeitslasten verantwortlich. |
| Physische Infrastruktur | ||
| Physische Elemente und Einrichtungen | Google stellt die physische Infrastruktur, die Stromversorgung und Kühlung der Einrichtungen, Google Cloud Regionen, Bare-Metal-Hosts und Netzwerkgeräte bereit, verwaltet und wartet sie. | |
| Kapazitätsüberwachung und ‑verwaltung | ||
| Kapazitätsüberwachung, ‑verwaltung und ‑planung | Kunde | Der Kunde muss die Kapazität überwachen und verwalten, einschließlich Planung und Reservierungen, wenn er weitere VMs bereitstellt oder Hostknoten hinzufügt. |
| Kapazitätsplanung und Bereitstellung von Infrastrukturressourcen | ||
| Kapazität sicherstellen | Google sorgt für eine ausreichende Backend-Infrastrukturkapazität. | |
| Kapazitätsbereitstellung | Google stellt bei Bedarf zusätzliche Infrastrukturkapazität bereit. | |
| Verwaltung des Infrastrukturlebenszyklus | ||
| Kerninfrastruktur | Google bietet die Kerninfrastruktur – insbesondere die VMware-Kernplattform (ESXi, vCenter, vSAN, NSX) und alle Zugriffsnetzwerkdienste wie Cloud VPN und Interconnect – als Dienst an. | |
| Zusätzliche Infrastruktur und Arbeitslasten | Kunde | Der Kunde muss alle Add-on-Komponenten, Betriebssysteme und Arbeitslasten verwalten. |
| HCX-Lebenszyklusmanagement | Kunde | Der Kunde ist für die Lebenszyklusverwaltung von HCX Cloud und Service-Appliances wie HCX-IX Interconnect verantwortlich. |