Modèle de responsabilité partagée VMware Engine
Cette page décrit vos responsabilités, en tant que client Google Cloud VMware Engine, et les responsabilités de Google.
Introduction
Une sécurité fiable dans Google Cloud est assurée grâce aux responsabilités partagées des clients et de Google en tant que fournisseur de services. Ce modèle est conçu pour offrir davantage de sécurité et éliminer les points de défaillance uniques. Les sections suivantes répertorient les responsabilités par rôle.
Matrice de responsabilités partagées
Le tableau suivant décrit la matrice de responsabilité partagée, en détaillant les activités gérées par Google et par le client :
| Activité | Responsabilité | Commentaires |
|---|---|---|
| Surveillance et alertes | ||
| OS et applications de VM (infrastructure) | Google surveille l'état et la disponibilité de l'infrastructure de VM. | |
| OS et applications de la VM (performances) | Client | Il incombe au client de fournir une expertise VMware et de suivre les consignes de performances VMware. |
| vSAN | Google surveille l'état et la disponibilité du stockage vSAN. | |
| Superposition réseau | Google surveille l'état des appareils de l'infrastructure NSX (passerelles Edge, contrôleurs) et du réseau sous-jacent de l'infrastructure (sous-couche) fourni par le biais de VLAN physiques. | |
| NSX | Client | Le client peut gérer lui-même son réseau overlay via NSX. Toutes les fonctionnalités de NSX sont disponibles et sont surveillées/gérées par le client. Le client peut configurer les règles de pare-feu, les adresses IP publiques et l'appairage de VPC de la couche sous-jacente. |
| VPN/IPsec de site à site (état du service) | Google fournit un VPN en tant que service à l'aide de Cloud VPN et surveille l'état des appareils VPN. | |
| VPN/IPsec de site à site (appareils VPN sur site et dans NSX) | Client | Le client doit surveiller les appareils sur site. Il peut également gérer et surveiller lui-même les appareils VPN dans NSX. |
| Hôtes ESXi | Si vous avez besoin d'assistance pour une plate-forme VMware (ESXi, vCenter, vSAN, NSX) ou une infrastructure matérielle, Google vous la fournit. | |
| Appareils de sécurité et réseau | Google Cloud et la plate-forme VMware fournissent des fonctionnalités VPN, de passerelle et de pare-feu par défaut. Google gère l'état de ces appareils, et le client gère tous les outils spécifiques. | |
| HCX | Google surveille l'état et la disponibilité du déploiement HCX par défaut. | |
| Assistance | ||
| OS et applications de VM | Client | Le client est responsable de l'assistance pour l'OS ou les applications. |
| vSAN | Si vous avez besoin d'assistance pour une plate-forme VMware (ESXi, vCenter, vSAN, NSX) ou une infrastructure matérielle, Google vous la fournit. | |
| Superposition réseau | Google est compatible avec la mise en réseau superposée. | |
| Hôtes ESXi : matériel | Si un besoin d'assistance est identifié pour une plate-forme VMware (ESXi, vCenter, vSAN, NSX) ou une infrastructure matérielle, Google fournit une assistance, y compris le remplacement de l'hôte. | |
| Hôtes ESXi : logiciel par défaut | Par défaut, Google gère les logiciels déployés sur le nœud. | |
| Hôtes ESXi : logiciel déployé par le client | Client | Le client est responsable de tout logiciel qu'il déploie avec des droits d'accès élevés (par exemple, Zerto). |
| Appareils de sécurité et réseau | Si vous avez besoin d'assistance pour une plate-forme VMware (ESXi, vCenter, vSAN, NSX) ou une infrastructure matérielle, Google vous la fournit. | |
| NSX | Si vous avez besoin d'assistance pour une plate-forme VMware (ESXi, vCenter, vSAN, NSX) ou une infrastructure matérielle, Google vous la fournit. | |
| VPN/IPsec de site à site (état du service) | Google fournit un VPN en tant que service via Cloud VPN. | |
| VPN/IPsec de site à site (appareils VPN sur site) | Client | Google fournit un VPN en tant que service via Cloud VPN. Le client doit prendre en charge les appareils sur site. |
| Assistance logicielle pour les éditeurs indépendants | Client | Le client doit confirmer la compatibilité avec les éditeurs de logiciels indépendants avant de déployer des logiciels spécifiques dans le cloud privé. |
| Gestion des identités | ||
| Implémentation | Client | Le client peut intégrer des sources d'identité sur site à la console Google Cloud et à vCenter. |
| Configuration et gestion | Client | Le client gère et configure les sources d'identité, y compris la gestion des utilisateurs vCenter et NSX (identité, contrôle des accès). |
| Installation et provisionnement | ||
| Clouds privés (déploiement) | Client | Le client déclenche le déploiement des clouds privés via la console, l'API ou la CLI. |
| Hôtes ESXi | Google installe et provisionne les hôtes ESXi. | |
| vSAN | Google installe et provisionne vSAN. | |
| vCenter | Google déploie et effectue la configuration de base de vCenter. | |
| vRA | Google déploie et effectue la configuration de base de vRA. | |
| Informations fournies par les journaux | Google déploie et effectue la configuration de base d'Aria Operations for Logs (anciennement vRealize Log Insight). | |
| OS et applications | Client | Le client installe et provisionne les systèmes d'exploitation et les applications. |
| Bases de données | Client | Le client installe et provisionne les bases de données. |
| Appareils de sécurité et réseau | Google Cloud et la plate-forme VMware fournissent des fonctionnalités VPN, de passerelle et de pare-feu par défaut. Le client gère tous les outils spécifiques aux clients. | |
| NSX | Google déploie et effectue la configuration de base de NSX. | |
| VPN/IPsec de site à site | Client | Le client doit provisionner Cloud VPN dans son projet Google Cloud . |
| HCX (déploiement initial) | Google déploie et configure de base HCX. | |
| Migration des charges de travail | Client | Le client est responsable de la migration des VM et des charges de travail vers le cloud privé, ainsi que de la gestion des outils de migration (tels que HCX). |
| Sauvegarder et restaurer | ||
| Services de gestion | Google gère la sauvegarde et la restauration des services de gestion, y compris vCenter Server et NSX Manager. Cela n'inclut pas les charges de travail des clients. | |
| Charges de travail des clients | Client | Le client est responsable de l'installation, de la configuration et de la gestion du logiciel de sauvegarde pour les environnements et les charges de travail des clients. |
| Configuration et gestion | ||
| Hôtes ESXi | Google gère la configuration des hôtes ESXi. | |
| vSAN (configuration initiale et par défaut) | Google gère la configuration initiale de vSAN. | |
| vSAN (configuration autre que celle par défaut) | Client | Le client peut modifier la configuration (par exemple, la stratégie de stockage). |
| vCenter (configuration initiale) | Google déploie et effectue la configuration de base de vCenter. | |
| vCenter (personnalisation) | Client | Le client doit configurer les sources d'identité, les utilisateurs externes, les règles DRS/HA, les règles vSAN, les sous-réseaux NSX et les applications complémentaires. |
| vRA | Google gère la configuration de vRA. | |
| Informations fournies par les journaux | Google gère la configuration d'Aria Operations for Logs. | |
| OS et applications | Client | Le client gère les configurations du système d'exploitation et des applications. |
| Bases de données | Client | Le client gère les configurations de base de données. |
| Appareils de sécurité et réseau | Google gère la configuration des appareils de sécurité et de réseau par défaut. | |
| SAN/Stockage | Google gère les configurations de réseau de stockage (SAN) et de stockage. | |
| NSX (configuration initiale) | Google déploie et configure de base NSX, NSX Edge et les contrôleurs. | |
| NSX (personnalisation) | Client | Le client doit configurer les sous-réseaux, les pare-feu/la microsegmentation et d'autres appareils facultatifs, et effectuer une gestion continue. |
| VPN/IPsec de site à site | Google gère la configuration des fonctionnalités VPN par défaut et VPN IPsec de site à site. | |
| Réglage des VM | Client | Le client doit respecter les Consignes de performances VMware. |
| Plages du réseau de gestion | Client | Le client doit allouer et définir la plage réseau CIDR pour les appliances et les ressources de gestion. |
| Outils de gestion de la configuration | Client | Le client est responsable de l'installation et de la gestion des outils de gestion de la configuration des invités. |
| Correctifs, mises à jour et mises à niveau | ||
| Hôtes ESXi : matériel | Google gère les correctifs, les mises à jour et les mises à niveau du matériel hôte ESXi. | |
| Hôtes ESXi : micrologiciel | Google gère les correctifs, les mises à jour et les mises à niveau du micrologiciel de l'hôte ESXi. | |
| vSAN | Google gère les correctifs, les mises à jour et les mises à niveau pour vSAN. | |
| vCenter | Google gère les correctifs, les mises à jour et les mises à niveau pour vCenter. | |
| vRA | Google gère les correctifs, les mises à jour et les mises à niveau pour vRA. | |
| Informations fournies par les journaux | Google gère les correctifs, les mises à jour et les mises à niveau pour Aria Operations for Logs. | |
| OS et applications | Client | Le client gère les correctifs, les mises à jour et les mises à niveau des systèmes d'exploitation et des applications invités. |
| Bases de données | Client | Le client gère les correctifs, les mises à jour et les mises à niveau des bases de données. |
| Appareils de sécurité et réseau (configuration standard) | Google Cloud et la plate-forme VMware fournissent des fonctionnalités VPN, de passerelle et de pare-feu par défaut. Google gère l'application de correctifs, les mises à jour et les mises à niveau pour ces fonctionnalités. | |
| Appareils de sécurité et réseau (configuration supplémentaire) | Client | Le client gère tous les outils spécifiques aux clients. |
| NSX | Google gère les correctifs, les mises à jour et les mises à niveau pour NSX. | |
| Mises à niveau et modifications | ||
| VPN/IPsec de site à site (configuration initiale) | Google met à niveau l'infrastructure Cloud VPN. | |
| VPN/IPsec de site à site (personnalisation) | Client | Le client peut effectuer des modifications. |
| Logiciel et configuration de sécurité | ||
| OS et applications de VM | Client | Il incombe au client de suivre les bonnes pratiques de sécurité VMware. |
| Outils antivirus et de sécurité | Client | Le client est responsable de l'installation et de la gestion des logiciels antivirus et de sécurité, ainsi que des agents dans les environnements et charges de travail invités. |
| Chiffrement vSAN (données au repos) | Client | Il incombe au client de maintenir le chiffrement des données vSAN au repos activé et de gérer le cycle de vie (rotation) de la clé de chiffrement de clé (KEK). |
| Sécurité du réseau principal | ||
| Configuration initiale | La plate-forme fournit des fonctionnalités par défaut telles que le pare-feu et la microsegmentation. | |
| Personnalisation | Client | Le client doit configurer ces fonctionnalités en fonction de ses règles et de ses besoins. |
| Conformité | ||
| Services et infrastructure gérés par Google | Google obtient et conserve les certifications de conformité aux normes et réglementations du secteur pour les services et l'infrastructure gérés par Google. | |
| Environnements et charges de travail des clients | Client | Il incombe au client d'obtenir et de conserver les certifications de conformité réglementaires et sectorielles pour les environnements et charges de travail lui appartenant. |
| Infrastructure physique | ||
| Éléments et installations physiques | Google déploie, gère et entretient l'infrastructure physique, l'alimentation et le refroidissement des installations, les Google Cloud régions, les hôtes Bare Metal et l'équipement réseau. | |
| Surveillance et gestion de la capacité | ||
| Surveillance, gestion et planification des capacités | Client | Le client doit surveiller et gérer la capacité, y compris la planification et les réservations, lorsqu'il provisionne des VM supplémentaires ou ajoute des nœuds hôtes. |
| Planification des capacités et provisionnement des ressources d'infrastructure | ||
| Assurer la capacité | Google s'assure que la capacité de l'infrastructure de backend est suffisante. | |
| Déploiement de la capacité | Google déploie une capacité d'infrastructure supplémentaire si nécessaire. | |
| Gestion du cycle de vie de l'infrastructure | ||
| Infrastructure de base | Google propose l'infrastructure de base en tant que service, en particulier la plate-forme VMware de base (ESXi, vCenter, vSAN, NSX) et tous les services d'accès au réseau tels que Cloud VPN et Interconnect. | |
| Infrastructure et charges de travail supplémentaires | Client | Le client doit gérer tous les composants, systèmes d'exploitation et charges de travail supplémentaires. |
| Gestion du cycle de vie HCX | Client | Le client est responsable de la gestion du cycle de vie des conteneurs HCX Cloud et de services tels que HCX-IX Interconnect. |