Model tanggung jawab bersama VMware Engine
Halaman ini menjelaskan hal yang menjadi tanggung jawab Anda sebagai pelanggan Google Cloud VMware Engine dan hal yang menjadi tanggung jawab Google.
Pengantar
Keamanan tepercaya di Google Cloud dicapai melalui tanggung jawab bersama pelanggan dan Google sebagai penyedia layanan. Model ini dimaksudkan untuk memberikan keamanan yang lebih tinggi dan menghilangkan titik tunggal kegagalan. Bagian berikut mencantumkan tanggung jawab menurut peran.
Matriks tanggung jawab bersama
Tabel berikut menjelaskan matriks tanggung jawab bersama, yang menjelaskan aktivitas yang dikelola oleh Google dan pelanggan:
| Aktivitas | Tanggung jawab | Komentar |
|---|---|---|
| Pemantauan dan pemberitahuan | ||
| OS dan aplikasi VM (infrastruktur) | Google memantau kondisi dan ketersediaan infrastruktur VM. | |
| OS dan aplikasi VM (performa) | Pelanggan | Pelanggan bertanggung jawab untuk menyediakan keahlian VMware dan mengikuti pedoman performa VMware. |
| vSAN | Google memantau kondisi dan ketersediaan penyimpanan vSAN. | |
| Overlay jaringan | Google memantau kondisi perangkat infrastruktur NSX (perangkat Edge Gateway, Pengontrol) dan jaringan yang mendasari infrastruktur (underlay) yang disediakan melalui VLAN fisik. | |
| NSX | Pelanggan | Pelanggan dapat mengelola sendiri overlay networking mereka melalui NSX. Semua fitur NSX tersedia dan dipantau/dikelola oleh pelanggan. Pelanggan dapat mengonfigurasi aturan firewall, alamat IP publik, dan peering VPC dari infrastruktur dasar. |
| VPN/IPsec Site-to-Site (kesehatan layanan) | Google menyediakan VPN sebagai layanan menggunakan Cloud VPN dan memantau kondisi perangkat VPN. | |
| VPN/IPsec Site-to-Site (perangkat VPN lokal dan di NSX) | Pelanggan | Pelanggan harus memantau perangkat lokal dan juga dapat mengelola sendiri serta memantau perangkat VPN di NSX. |
| Host ESXi | Jika kebutuhan dukungan hardware infrastruktur atau platform VMware (ESXi, vCenter, vSAN, NSX) teridentifikasi, Google akan memberikan dukungan. | |
| Perangkat keamanan dan jaringan | Google Cloud dan platform VMware menyediakan kemampuan VPN, gateway, dan firewall default. Google mengelola kondisi perangkat ini, dan pelanggan mengelola alat khusus pelanggan. | |
| HCX | Google memantau kondisi dan ketersediaan deployment HCX default. | |
| Dukungan | ||
| OS dan aplikasi VM | Pelanggan | Pelanggan bertanggung jawab atas dukungan OS atau aplikasi apa pun. |
| vSAN | Jika kebutuhan dukungan hardware infrastruktur atau platform VMware (ESXi, vCenter, vSAN, NSX) teridentifikasi, Google akan memberikan dukungan. | |
| Overlay jaringan | Google menyediakan dukungan untuk jaringan overlay. | |
| Host ESXi - hardware | Jika kebutuhan dukungan hardware infrastruktur atau platform VMware (ESXi, vCenter, vSAN, NSX) teridentifikasi, Google akan memberikan dukungan, termasuk penggantian host. | |
| Host ESXi - software default | Secara default, Google mengelola software yang di-deploy di node. | |
| Host ESXi - software yang di-deploy pelanggan | Pelanggan | Pelanggan bertanggung jawab atas semua software yang di-deploy dengan hak istimewa yang ditingkatkan (misalnya, Zerto). |
| Perangkat keamanan dan jaringan | Jika kebutuhan dukungan hardware infrastruktur atau platform VMware (ESXi, vCenter, vSAN, NSX) teridentifikasi, Google akan memberikan dukungan. | |
| NSX | Jika kebutuhan dukungan hardware infrastruktur atau platform VMware (ESXi, vCenter, vSAN, NSX) teridentifikasi, Google akan memberikan dukungan. | |
| VPN/IPsec Site-to-Site (kesehatan layanan) | Google menyediakan VPN sebagai layanan melalui Cloud VPN. | |
| VPN/IPsec Site-to-Site (perangkat VPN lokal) | Pelanggan | Google menyediakan VPN sebagai layanan melalui Cloud VPN. Pelanggan harus mendukung perangkat lokal. |
| Dukungan software ISV | Pelanggan | Pelanggan harus mengonfirmasi dukungan dengan vendor software independen (ISV) sebelum men-deploy software tertentu ke cloud pribadi. |
| Pengelolaan identitas | ||
| Penerapan | Pelanggan | Pelanggan dapat mengintegrasikan sumber ID lokal dengan konsol Google Cloud dan dengan vCenter. |
| Konfigurasi dan pengelolaan | Pelanggan | Pelanggan mengelola dan mengonfigurasi sumber identitas, termasuk pengelolaan pengguna vCenter dan NSX (identitas, kontrol akses). |
| Penginstalan dan penyediaan | ||
| Cloud pribadi (deployment) | Pelanggan | Pelanggan memicu deployment cloud pribadi melalui konsol, API, atau CLI. |
| Host ESXi | Google menginstal dan menyediakan host ESXi. | |
| vSAN | Google menginstal dan menyediakan vSAN. | |
| vCenter | Google men-deploy dan melakukan konfigurasi dasar vCenter. | |
| vRA | Google men-deploy dan melakukan konfigurasi dasar vRA. | |
| Log Insight | Google men-deploy dan melakukan konfigurasi dasar Aria Operations for Logs (sebelumnya vRealize Log Insight). | |
| OS dan aplikasi | Pelanggan | Pelanggan menginstal dan menyediakan sistem operasi dan aplikasi. |
| Database | Pelanggan | Pelanggan menginstal dan menyediakan database. |
| Perangkat keamanan dan jaringan | Google Cloud dan platform VMware menyediakan kemampuan VPN, gateway, dan firewall default. Pelanggan mengelola alat khusus pelanggan. | |
| NSX | Google men-deploy dan melakukan konfigurasi dasar NSX. | |
| VPN/IPsec Site-to-Site | Pelanggan | Pelanggan harus menyediakan Cloud VPN di project Google Cloud mereka. |
| HCX (deployment awal) | Google men-deploy dan melakukan konfigurasi dasar HCX. | |
| Migrasi beban kerja | Pelanggan | Pelanggan bertanggung jawab untuk memigrasikan VM dan workload ke cloud pribadi, serta mengelola alat migrasi (seperti HCX). |
| Pencadangan dan pemulihan | ||
| Layanan pengelolaan | Google mengelola pencadangan dan pemulihan layanan pengelolaan, termasuk vCenter Server dan NSX Manager. Ini tidak mencakup beban kerja pelanggan. | |
| Workload pelanggan | Pelanggan | Pelanggan bertanggung jawab untuk menginstal, mengonfigurasi, dan mengelola software pencadangan untuk lingkungan dan workload pelanggan. |
| Konfigurasi dan pengelolaan | ||
| Host ESXi | Google mengelola konfigurasi host ESXi. | |
| vSAN (konfigurasi awal dan default) | Google mengelola konfigurasi awal vSAN. | |
| vSAN (konfigurasi non-default) | Pelanggan | Pelanggan dapat mengubah konfigurasi (misalnya, mengubah kebijakan penyimpanan). |
| vCenter (konfigurasi awal) | Google men-deploy dan melakukan konfigurasi dasar vCenter. | |
| vCenter (penyesuaian) | Pelanggan | Pelanggan harus mengonfigurasi sumber ID, pengguna eksternal, kebijakan DRS/HA, kebijakan vSAN, subnet NSX, dan aplikasi add-on. |
| vRA | Google mengelola konfigurasi vRA. | |
| Log Insight | Google mengelola konfigurasi Aria Operations for Logs. | |
| OS dan aplikasi | Pelanggan | Pelanggan mengelola konfigurasi sistem operasi dan aplikasi. |
| Database | Pelanggan | Pelanggan mengelola konfigurasi database. |
| Perangkat keamanan dan jaringan | Google mengelola konfigurasi perangkat keamanan dan jaringan default. | |
| SAN/penyimpanan | Google mengelola jaringan area penyimpanan (SAN) dan konfigurasi penyimpanan. | |
| NSX (konfigurasi awal) | Google men-deploy dan melakukan konfigurasi dasar NSX, NSX Edge, dan Pengontrol. | |
| NSX (penyesuaian) | Pelanggan | Pelanggan harus mengonfigurasi subnet, firewall/mikro-segmentasi, dan perangkat opsional lainnya, serta melakukan pengelolaan berkelanjutan. |
| VPN/IPsec Site-to-Site | Google mengelola konfigurasi kemampuan VPN default dan IPsec Site-to-Site. | |
| Penyesuaian VM | Pelanggan | Pelanggan harus mengikuti panduan performa VMware. |
| Rentang jaringan pengelolaan | Pelanggan | Pelanggan harus mengalokasikan dan menentukan rentang jaringan CIDR untuk peralatan dan resource pengelolaan. |
| Alat pengelolaan konfigurasi | Pelanggan | Pelanggan bertanggung jawab untuk menginstal dan mengelola alat pengelolaan konfigurasi tamu. |
| Patching, update, dan upgrade | ||
| Host ESXi - hardware | Google menangani patching, update, dan upgrade untuk hardware host ESXi. | |
| Host ESXi - firmware | Google menangani patching, update, dan upgrade untuk firmware host ESXi. | |
| vSAN | Google menangani patching, update, dan upgrade untuk vSAN. | |
| vCenter | Google menangani patching, update, dan upgrade untuk vCenter. | |
| vRA | Google menangani patching, update, dan upgrade untuk vRA. | |
| Log Insight | Google menangani patching, update, dan upgrade untuk Aria Operations for Logs. | |
| OS dan aplikasi | Pelanggan | Pelanggan menangani patching, update, dan upgrade untuk sistem operasi dan aplikasi tamu. |
| Database | Pelanggan | Pelanggan menangani penerapan patch, update, dan upgrade untuk database. |
| Perangkat keamanan dan jaringan (konfigurasi standar) | Google Cloud dan platform VMware menyediakan kemampuan VPN, gateway, dan firewall default. Google menangani penerapan patch, update, dan upgrade untuk kemampuan ini. | |
| Perangkat keamanan dan jaringan (konfigurasi tambahan) | Pelanggan | Pelanggan mengelola alat khusus pelanggan. |
| NSX | Google menangani patching, update, dan upgrade untuk NSX. | |
| Upgrade dan modifikasi | ||
| VPN/IPsec Site-to-Site (konfigurasi awal) | Google mengupgrade infrastruktur Cloud VPN. | |
| VPN/IPsec Site-to-Site (penyesuaian) | Pelanggan | Pelanggan dapat melakukan modifikasi. |
| Software dan konfigurasi keamanan | ||
| OS dan aplikasi VM | Pelanggan | Pelanggan bertanggung jawab untuk mengikuti praktik terbaik keamanan VMware. |
| Alat antivirus dan keamanan | Pelanggan | Pelanggan bertanggung jawab untuk menginstal dan mengelola antivirus, software keamanan, dan agen di lingkungan dan workload tamu. |
| Enkripsi vSAN (data dalam penyimpanan) | Pelanggan | Pelanggan bertanggung jawab untuk mengaktifkan enkripsi data dalam penyimpanan vSAN dan mengelola siklus proses (rotasi) Kunci Enkripsi Kunci (KEK). |
| Keamanan jaringan inti | ||
| Konfigurasi awal | Platform ini menyediakan fitur default seperti firewall dan segmentasi mikro. | |
| Penyesuaian | Pelanggan | Pelanggan harus mengonfigurasi fitur ini agar sesuai dengan kebijakan dan kebutuhannya. |
| Kepatuhan | ||
| Layanan dan infrastruktur yang dikelola Google | Google memperoleh dan mempertahankan sertifikasi kepatuhan terhadap peraturan dan standar industri untuk layanan dan infrastruktur yang dikelola Google. | |
| Lingkungan dan workload pelanggan | Pelanggan | Pelanggan bertanggung jawab untuk mendapatkan dan mempertahankan sertifikasi kepatuhan terhadap peraturan dan standar industri untuk lingkungan dan workload milik pelanggan. |
| Infrastruktur fisik | ||
| Elemen dan fasilitas fisik | Google men-deploy, mengelola, dan memelihara infrastruktur fisik, daya dan pendingin fasilitas, Google Cloud region, host bare metal, dan peralatan jaringan. | |
| Pemantauan dan pengelolaan kapasitas | ||
| Pemantauan, pengelolaan, dan perencanaan kapasitas | Pelanggan | Pelanggan harus memantau dan mengelola kapasitas, termasuk perencanaan dan reservasi saat menyediakan lebih banyak VM atau menambahkan node host. |
| Perencanaan kapasitas dan penyediaan sumber daya infrastruktur | ||
| Memastikan kapasitas | Google memastikan kapasitas infrastruktur backend yang memadai. | |
| Deployment kapasitas | Google men-deploy kapasitas infrastruktur tambahan sesuai kebutuhan. | |
| Pengelolaan siklus proses infrastruktur | ||
| Infrastruktur inti | Google menawarkan infrastruktur inti—khususnya platform inti VMware (ESXi, vCenter, vSAN, NSX) dan semua layanan jaringan akses seperti Cloud VPN dan Interconnect—sebagai layanan. | |
| Infrastruktur dan workload tambahan | Pelanggan | Pelanggan harus mengelola semua komponen add-on, sistem operasi, dan workload. |
| Pengelolaan siklus proses HCX | Pelanggan | Pelanggan bertanggung jawab atas pengelolaan siklus proses HCX Cloud dan perangkat layanan, seperti Interconnect HCX-IX. |