מודל האחריות המשותפת ב-VMware Engine
בדף הזה מוסבר מה האחריות שלכם כלקוחות Google Cloud VMware Engine ומה האחריות של Google.
מבוא
אבטחה מהימנה ב- Google Cloud מושגת באמצעות חלוקת האחריות בין הלקוחות לבין Google כספקית שירותים. המודל הזה נועד לספק אבטחה גבוהה יותר ולמנוע נקודות כשל בודדות. בקטעים הבאים מפורטים תחומי האחריות לפי תפקיד.
מטריצת אחריות משותפת
בטבלה הבאה מתואר מטריצת האחריות המשותפת, עם פירוט של הפעילויות שמנוהלות על ידי Google ועל ידי הלקוח:
| פעילות | אחריות | תגובות |
|---|---|---|
| מעקב והתראות | ||
| מערכת ההפעלה של מכונה וירטואלית ואפליקציות (תשתית) | Google עוקבת אחרי התקינות והזמינות של תשתית המכונות הווירטואליות. | |
| מערכת ההפעלה והאפליקציות של המכונה הווירטואלית (ביצועים) | לקוח/ה | הלקוח אחראי לספק מומחיות ב-VMware ולפעול בהתאם להנחיות הביצועים של VMware. |
| vSAN | Google עוקבת אחרי התקינות והזמינות של אחסון vSAN. | |
| שכבת-על של הרשת | Google עוקבת אחרי התקינות של מכשירי התשתית של NSX (מכשירי Edge Gateway, בקרים) והרשת הבסיסית של התשתית (underlay) שמסופקת באמצעות רשתות VLAN פיזיות. | |
| NSX | לקוח/ה | הלקוח יכול לנהל בעצמו את רשת השכבות שלו באמצעות NSX. כל התכונות של NSX זמינות ומנוהלות על ידי הלקוח. הלקוח יכול להגדיר כללים לחומת אש, כתובות IP ציבוריות ו-VPC peering של שכבת הבסיס. |
| VPN/Site-to-Site IPsec (תקינות השירות) | Google מספקת VPN כשירות באמצעות Cloud VPN ועוקבת אחרי תקינות מכשירי ה-VPN. | |
| VPN/Site-to-Site IPsec (מכשירי VPN מקומיים וב-NSX) | לקוח/ה | הלקוח צריך לעקוב אחרי מכשירים מקומיים, ויכול גם לנהל ולעקוב בעצמו אחרי מכשירי VPN ב-NSX. |
| מארחי ESXi | אם מזוהה צורך בתמיכה בפלטפורמת VMware (ESXi, vCenter, vSAN, NSX) או בתשתית חומרה, Google מספקת תמיכה. | |
| מכשירי אבטחה ורשת | Google Cloud ופלטפורמת VMware מספקות יכולות ברירת מחדל של VPN, שער וחומת אש. Google מנהלת את תקינות המכשירים האלה, והלקוח מנהל כלים ספציפיים ללקוח. | |
| HCX | Google עוקבת אחרי התקינות והזמינות של פריסת HCX שמוגדרת כברירת מחדל. | |
| תמיכה | ||
| מערכת הפעלה ואפליקציות של מכונה וירטואלית | לקוח/ה | הלקוח אחראי לתמיכה במערכת ההפעלה או באפליקציה. |
| vSAN | אם מזוהה צורך בתמיכה בפלטפורמת VMware (ESXi, vCenter, vSAN, NSX) או בתשתית חומרה, Google מספקת תמיכה. | |
| שכבת-על של הרשת | Google מספקת תמיכה ברשתות שכבת-על. | |
| מארחי ESXi – חומרה | אם מזוהה צורך בתמיכה בפלטפורמת VMware (ESXi, vCenter, vSAN, NSX) או בתשתית חומרה, Google מספקת תמיכה, כולל החלפת מארח. | |
| מארחי ESXi – תוכנה שמוגדרת כברירת מחדל | כברירת מחדל, Google מנהלת את התוכנה שנפרסת בצומת. | |
| מארחי ESXi – תוכנה שנפרסה על ידי הלקוח | לקוח/ה | הלקוח אחראי לכל תוכנה שהוא פורס עם הרשאות מורחבות (לדוגמה, Zerto). |
| מכשירי אבטחה ורשת | אם מזוהה צורך בתמיכה בפלטפורמת VMware (ESXi, vCenter, vSAN, NSX) או בתשתית חומרה, Google מספקת תמיכה. | |
| NSX | אם מזוהה צורך בתמיכה בפלטפורמת VMware (ESXi, vCenter, vSAN, NSX) או בתשתית חומרה, Google מספקת תמיכה. | |
| VPN/Site-to-Site IPsec (תקינות השירות) | Google מספקת VPN כשירות דרך Cloud VPN. | |
| VPN/Site-to-Site IPsec (מכשירי VPN מקומיים) | לקוח/ה | Google מספקת VPN כשירות דרך Cloud VPN. הלקוח צריך לתמוך במכשירים מקומיים. |
| תמיכה בתוכנה של ISV | לקוח/ה | הלקוח צריך לאשר תמיכה עם ספקי תוכנה עצמאיים (ISV) לפני פריסת תוכנה ספציפית בענן הפרטי. |
| ניהול זהויות | ||
| הטמעה | לקוח/ה | הלקוח יכול לשלב מקורות מזהים מקומיים עם Google Cloud המסוף ועם vCenter. |
| הגדרה וניהול | לקוח/ה | הלקוח מנהל ומגדיר מקורות זהויות, כולל ניהול משתמשים ב-vCenter וב-NSX (זהות, בקרת גישה). |
| התקנה והקצאת הרשאות | ||
| עננים פרטיים (פריסה) | לקוח/ה | הלקוח מפעיל את הפריסה של עננים פרטיים דרך המסוף, API או CLI. |
| מארחי ESXi | Google מתקינה ומקצה מארחי ESXi. | |
| vSAN | Google מתקינה את vSAN ומקצה לו משאבים. | |
| vCenter | Google פורסת את vCenter ומבצעת את ההגדרה הבסיסית שלו. | |
| vRA | Google פורסת את vRA ומבצעת את ההגדרה הבסיסית שלו. | |
| Log Insight | Google פורסת את Aria Operations for Logs (לשעבר vRealize Log Insight) ומבצעת את ההגדרה הבסיסית שלו. | |
| מערכת הפעלה ואפליקציות | לקוח/ה | הלקוח מתקין ומקצה מערכות הפעלה ואפליקציות. |
| מסדי נתונים | לקוח/ה | הלקוח מתקין מסדי נתונים ומקצה להם משאבים. |
| מכשירי אבטחה ורשת | Google Cloud ופלטפורמת VMware מספקות יכולות ברירת מחדל של VPN, שער וחומת אש. הלקוח מנהל את כל הכלים הספציפיים ללקוח. | |
| NSX | Google פורסת את NSX ומבצעת את ההגדרה הבסיסית שלו. | |
| VPN/Site-to-Site IPsec | לקוח/ה | הלקוח צריך להקצות Cloud VPN בפרויקט שלו. Google Cloud |
| HCX (פריסה ראשונית) | Google פורסת את HCX ומבצעת את ההגדרה הבסיסית שלו. | |
| העברת עומסי עבודה | לקוח/ה | הלקוח אחראי להעברת מכונות וירטואליות ועומסי עבודה לענן הפרטי ולניהול כלי העברה (כמו HCX). |
| גיבוי ושחזור | ||
| שירותי ניהול | Google מנהלת את הגיבוי והשחזור של שירותי הניהול, כולל vCenter Server ו-NSX Manager. העלות לא כוללת עומסי עבודה של לקוחות. | |
| עומסי עבודה של לקוחות | לקוח/ה | הלקוח אחראי להתקין, להגדיר ולנהל תוכנת גיבוי לסביבות ולעומסי עבודה של הלקוח. |
| הגדרה וניהול | ||
| מארחי ESXi | Google מנהלת את ההגדרה של מארחי ESXi. | |
| vSAN (הגדרה ראשונית והגדרת ברירת מחדל) | Google מנהלת את ההגדרה הראשונית של vSAN. | |
| vSAN (הגדרה שאינה ברירת המחדל) | לקוח/ה | הלקוח יכול לשנות את ההגדרה (לדוגמה, לשנות את מדיניות האחסון). |
| vCenter (הגדרה ראשונית) | Google פורסת את vCenter ומבצעת את ההגדרה הבסיסית שלו. | |
| vCenter (התאמה אישית) | לקוח/ה | הלקוח צריך להגדיר מקורות זהויות, משתמשים חיצוניים, מדיניות DRS/HA, מדיניות vSAN, רשתות משנה של NSX ואפליקציות להרחבת הפונקציונליות. |
| vRA | Google מנהלת את ההגדרה של vRA. | |
| Log Insight | Google מנהלת את ההגדרה של Aria Operations for Logs. | |
| מערכת הפעלה ואפליקציות | לקוח/ה | הלקוח מנהל את ההגדרות של מערכת ההפעלה והאפליקציות. |
| מסדי נתונים | לקוח/ה | הלקוח מנהל את הגדרות מסד הנתונים. |
| מכשירי אבטחה ורשת | Google מנהלת את ההגדרה של מכשירי אבטחה ורשת כברירת מחדל. | |
| SAN/storage | Google מנהלת את רשת אזורי האחסון (SAN) ואת תצורות האחסון. | |
| NSX (הגדרה ראשונית) | Google פורסת את NSX, NSX Edge ו-Controllers ומבצעת את ההגדרה הבסיסית שלהם. | |
| NSX (התאמה אישית) | לקוח/ה | הלקוח צריך להגדיר תת-רשתות, חומות אש/מיקרו-פילוח ומכשירים אופציונליים אחרים, ולבצע ניהול שוטף. |
| VPN/Site-to-Site IPsec | Google מנהלת את ההגדרה של יכולות ברירת המחדל של VPN ו-IPsec מאתר לאתר. | |
| כוונון של מכונות וירטואליות | לקוח/ה | הלקוח חייב לפעול בהתאם להנחיות של VMware בנושא ביצועים. |
| טווחים של רשתות ניהול | לקוח/ה | הלקוח צריך להקצות ולהגדיר את טווח הרשת של CIDR עבור מכשירי ניהול ומשאבים. |
| כלי ניהול הגדרות | לקוח/ה | הלקוח אחראי להתקין ולנהל את כל כלי הניהול של תצורת האורח. |
| תיקון באגים, עדכונים ושדרוגים | ||
| מארחי ESXi – חומרה | Google מטפלת בתיקוני אבטחה, בעדכונים ובשדרוגים של חומרת המארח ESXi. | |
| מארחי ESXi – קושחה | Google מטפלת בתיקונים, בעדכונים ובשדרוגים של קושחת המארח ESXi. | |
| vSAN | Google מטפלת בתיקוני אבטחה, בעדכונים ובשדרוגים של vSAN. | |
| vCenter | Google מטפלת בתיקוני אבטחה, בעדכונים ובשדרוגים של vCenter. | |
| vRA | Google מטפלת בתיקוני אבטחה, בעדכונים ובשדרוגים של vRA. | |
| Log Insight | Google מטפלת בתיקונים, בעדכונים ובשדרוגים של Aria Operations for Logs. | |
| מערכת הפעלה ואפליקציות | לקוח/ה | הלקוח אחראי לתיקון, לעדכונים ולשדרוגים של מערכות הפעלה ואפליקציות של מכונות אורחות. |
| מסדי נתונים | לקוח/ה | הלקוח אחראי לתיקון באגים, לעדכונים ולשדרוגים של מסדי הנתונים. |
| מכשירי אבטחה ורשת (הגדרה רגילה) | Google Cloud ופלטפורמת VMware מספקות יכולות ברירת מחדל של VPN, שער וחומת אש. Google מטפלת בתיקוני האבטחה, בעדכונים ובשדרוגים של היכולות האלה. | |
| מכשירי אבטחה ורשת (הגדרה נוספת) | לקוח/ה | הלקוח מנהל את כל הכלים הספציפיים ללקוח. |
| NSX | Google מטפלת בתיקוני אבטחה, בעדכונים ובשדרוגים של NSX. | |
| שדרוגים ושינויים | ||
| VPN/Site-to-Site IPsec (הגדרה ראשונית) | Google משדרגת את התשתית של Cloud VPN. | |
| VPN/Site-to-Site IPsec (התאמה אישית) | לקוח/ה | הלקוח יכול לבצע שינויים. |
| תוכנת אבטחה והגדרות | ||
| מערכת הפעלה ואפליקציות של מכונה וירטואלית | לקוח/ה | הלקוח אחראי לפעול בהתאם לשיטות המומלצות לאבטחה של VMware. |
| כלים לאנטי-וירוס ולאבטחה | לקוח/ה | הלקוח אחראי להתקנה ולניהול של אנטי-וירוס, תוכנת אבטחה ואגנטים בסביבות ובעומסי עבודה של אורחים. |
| הצפנה ב-vSAN (נתונים במנוחה) | לקוח/ה | הלקוח אחראי להשאיר את ההצפנה של נתונים במנוחה ב-vSAN מופעלת ולנהל את מחזור החיים (הרוטציה) של המפתח להצפנת מפתחות הצפנה (KEK). |
| אבטחת ליבת הרשת | ||
| הגדרה ראשונית | הפלטפורמה מספקת תכונות ברירת מחדל כמו חומת אש ומיקרו-פילוח. | |
| התאמה אישית | לקוח/ה | הלקוח צריך להגדיר את התכונות האלה בהתאם למדיניות ולצרכים שלו. |
| עמידה בדרישות | ||
| שירותים ותשתית מנוהלים של Google | Google מקבלת ומחזיקה באישור תאימות לתקנים בתעשייה ולדרישות רגולטוריות עבור שירותים ותשתית שמנוהלים על ידי Google. | |
| סביבות ועומסי עבודה של לקוחות | לקוח/ה | הלקוח אחראי להשגת אישורים ולשמירה על עמידה בדרישות רגולטוריות ובתקנים בתעשייה עבור סביבות ועומסי עבודה (workloads) שבבעלות הלקוח. |
| תשתית פיזית | ||
| מתקנים ורכיבים פיזיים | Google פורסת, מנהלת ומתחזקת את התשתית הפיזית, את אספקת החשמל והקירור במתקן, Google Cloud את האזורים, את המארחים של Bare-metal ואת ציוד הרשת. | |
| מעקב אחר הקיבולת וניהול שלה | ||
| מעקב אחרי הקיבולת, ניהול שלה ותכנון שלה | לקוח/ה | הלקוח צריך לעקוב אחרי הקיבולת ולנהל אותה, כולל תכנון והזמנות כשמבצעים הקצאה של עוד מכונות וירטואליות או כשמוסיפים צמתים של מארחים. |
| תכנון קיבולת והקצאת משאבי תשתית | ||
| הבטחת הקיבולת | Google מוודאת שיש מספיק קיבולת בתשתית העורפית. | |
| פריסת קיבולת | Google פורסת קיבולת תשתית נוספת לפי הצורך. | |
| ניהול מחזור החיים של התשתית | ||
| תשתית ליבה | Google מציעה את תשתית הליבה – במיוחד את פלטפורמת הליבה של VMware (ESXi, vCenter, vSAN, NSX) ואת כל שירותי הרשתות לגישה, כמו Cloud VPN ו-Interconnect – כשירות. | |
| תשתיות ועומסי עבודה נוספים | לקוח/ה | הלקוח צריך לנהל את כל רכיבי התוסף, מערכות ההפעלה ועומסי העבודה. |
| ניהול מחזור החיים של HCX | לקוח/ה | הלקוח אחראי לניהול מחזור החיים של HCX Cloud ומכשירי שירות, כמו HCX-IX Interconnect. |