Modello di responsabilità condivisa di VMware Engine
Questa pagina descrive le responsabilità di Google e le tue in qualità di cliente di Google Cloud VMware Engine.
Introduzione
La sicurezza attendibile in Google Cloud viene raggiunta attraverso le responsabilità condivise dei clienti e di Google in qualità di fornitore di servizi. Questo modello è progettato per fornire una maggiore sicurezza ed eliminare i single point of failure. Le sezioni seguenti elencano le responsabilità per ruolo.
Matrice di responsabilità condivisa
La tabella seguente descrive la matrice di responsabilità condivisa, che indica in dettaglio le attività gestite da Google e dal cliente:
| Attività | Responsabilità | Commenti |
|---|---|---|
| Monitoraggio e avvisi | ||
| Sistema operativo e applicazioni VM (infrastruttura) | Google monitora l'integrità e la disponibilità dell'infrastruttura VM. | |
| Sistema operativo VM e applicazioni (prestazioni) | Cliente | Il cliente è responsabile di fornire competenze VMware e di seguire le linee guida per le prestazioni di VMware. |
| vSAN | Google monitora l'integrità e la disponibilità dello spazio di archiviazione vSAN. | |
| Overlay di rete | Google monitora lo stato dei dispositivi dell'infrastruttura NSX (dispositivi Edge Gateway, controller) e il networking sottostante dell'infrastruttura (underlay) fornito tramite VLAN fisiche. | |
| NSX | Cliente | Il cliente può gestire autonomamente il proprio networking di overlay tramite NSX. Tutte le funzionalità di NSX sono disponibili e vengono monitorate/gestite dal cliente. Il cliente può configurare le regole firewall, gli indirizzi IP pubblici e il peering VPC del livello di base. |
| VPN/IPsec site-to-site (stato del servizio) | Google fornisce la VPN come servizio utilizzando Cloud VPN e monitora lo stato dei dispositivi VPN. | |
| VPN/IPsec site-to-site (dispositivi VPN on-premise e in NSX) | Cliente | Il cliente deve monitorare i dispositivi on-premise e può anche autogestire e monitorare i dispositivi VPN in NSX. |
| Host ESXi | Se viene identificato un problema di supporto per una piattaforma VMware (ESXi, vCenter, vSAN, NSX) o per l'hardware dell'infrastruttura, Google fornisce assistenza. | |
| Dispositivi di sicurezza e di rete | Google Cloud e la piattaforma VMware forniscono funzionalità predefinite di VPN, gateway e firewall. Google gestisce lo stato di questi dispositivi, mentre il cliente gestisce gli strumenti specifici per i clienti. | |
| HCX | Google monitora l'integrità e la disponibilità del deployment HCX predefinito. | |
| Assistenza | ||
| Sistema operativo e applicazioni VM | Cliente | Il cliente è responsabile di qualsiasi supporto per il sistema operativo o le applicazioni. |
| vSAN | Se viene identificato un problema di supporto per una piattaforma VMware (ESXi, vCenter, vSAN, NSX) o per l'hardware dell'infrastruttura, Google fornisce assistenza. | |
| Overlay di rete | Google fornisce assistenza per il networking overlay. | |
| Host ESXi - hardware | Se viene identificato un problema di supporto per una piattaforma VMware (ESXi, vCenter, vSAN, NSX) o per l'hardware dell'infrastruttura, Google fornisce assistenza, inclusa la sostituzione dell'host. | |
| Host ESXi - software predefinito | Per impostazione predefinita, Google gestisce il software di cui è stato eseguito il deployment sul nodo. | |
| Host ESXi - software implementato dal cliente | Cliente | Il cliente è responsabile di qualsiasi software di cui esegue il deployment con privilegi elevati (ad esempio Zerto). |
| Dispositivi di sicurezza e di rete | Se viene identificato un problema di supporto per una piattaforma VMware (ESXi, vCenter, vSAN, NSX) o per l'hardware dell'infrastruttura, Google fornisce assistenza. | |
| NSX | Se viene identificato un problema di supporto per una piattaforma VMware (ESXi, vCenter, vSAN, NSX) o per l'hardware dell'infrastruttura, Google fornisce assistenza. | |
| VPN/IPsec site-to-site (stato del servizio) | Google fornisce la VPN come servizio tramite Cloud VPN. | |
| VPN/IPsec site-to-site (dispositivi VPN on-premise) | Cliente | Google fornisce la VPN come servizio tramite Cloud VPN. Il cliente deve supportare i dispositivi on-premise. |
| Supporto software ISV | Cliente | Il cliente deve confermare il supporto con i fornitori di software indipendenti (ISV) prima di eseguire il deployment di software specifici nel cloud privato. |
| Gestione delle identità | ||
| Implementazione | Cliente | Il cliente può integrare le origini ID on-premise con la console Google Cloud e con vCenter. |
| Configurazione e gestione | Cliente | Il cliente gestisce e configura le origini identità, inclusa la gestione degli utenti vCenter e NSX (identità, controllo dell'accesso;accesso). |
| Installazione e provisioning | ||
| Cloud privati (deployment) | Cliente | Il cliente attiva il deployment dei cloud privati tramite la console, l'API o la CLI. |
| Host ESXi | Google installa e esegue il provisioning degli host ESXi. | |
| vSAN | Google installa e fornisce vSAN. | |
| vCenter | Google esegue il deployment e la configurazione di base di vCenter. | |
| vRA | Google esegue il deployment e la configurazione di base di vRA. | |
| Log Insight | Google esegue il deployment e la configurazione di base di Aria Operations for Logs (in precedenza vRealize Log Insight). | |
| Sistema operativo e applicazioni | Cliente | Il cliente installa e esegue il provisioning di sistemi operativi e applicazioni. |
| Database | Cliente | Il cliente installa e esegue il provisioning dei database. |
| Dispositivi di sicurezza e di rete | Google Cloud e la piattaforma VMware forniscono funzionalità predefinite di VPN, gateway e firewall. Il cliente gestisce tutti gli strumenti specifici per il cliente. | |
| NSX | Google esegue il deployment e la configurazione di base di NSX. | |
| VPN/IPsec site-to-site | Cliente | Il cliente deve eseguire il provisioning di Cloud VPN nel proprio progetto Google Cloud . |
| HCX (deployment iniziale) | Google esegue il deployment e la configurazione di base di HCX. | |
| Migrazione del workload | Cliente | Il cliente è responsabile della migrazione di VM e carichi di lavoro al cloud privato e della gestione degli strumenti di migrazione (come HCX). |
| Backup e ripristino | ||
| Servizi di gestione | Google gestisce il backup e il ripristino dei servizi di gestione, inclusi vCenter Server e NSX Manager. Non sono inclusi i carichi di lavoro dei clienti. | |
| Workload dei clienti | Cliente | Il cliente è responsabile dell'installazione, della configurazione e della gestione del software di backup per gli ambienti e i carichi di lavoro del cliente. |
| Configurazione e gestione | ||
| Host ESXi | Google gestisce la configurazione degli host ESXi. | |
| vSAN (configurazione iniziale e predefinita) | Google gestisce la configurazione iniziale di vSAN. | |
| vSAN (configurazione non predefinita) | Cliente | Il cliente può modificare la configurazione (ad esempio, modificare le norme di archiviazione). |
| vCenter (configurazione iniziale) | Google esegue il deployment e la configurazione di base di vCenter. | |
| vCenter (personalizzazione) | Cliente | Il cliente deve configurare le origini ID, gli utenti esterni, le policy DRS/HA, le policy vSAN, le subnet NSX e le applicazioni aggiuntive. |
| vRA | Google gestisce la configurazione di vRA. | |
| Log Insight | Google gestisce la configurazione di Aria Operations for Logs. | |
| Sistema operativo e applicazioni | Cliente | Il cliente gestisce le configurazioni del sistema operativo e delle applicazioni. |
| Database | Cliente | Il cliente gestisce le configurazioni del database. |
| Dispositivi di sicurezza e di rete | Google gestisce la configurazione dei dispositivi di sicurezza e di rete predefiniti. | |
| SAN/storage | Google gestisce la SAN (Storage Area Network) e le configurazioni di archiviazione. | |
| NSX (configurazione iniziale) | Google esegue il deployment e la configurazione di base di NSX, NSX Edge e dei controller. | |
| NSX (personalizzazione) | Cliente | Il cliente deve configurare subnet, firewall/microsegmentazione e altri dispositivi opzionali ed eseguire la gestione continua. |
| VPN/IPsec site-to-site | Google gestisce la configurazione delle funzionalità VPN e IPsec da sito a sito predefinite. | |
| Ottimizzazione delle VM | Cliente | Il cliente deve seguire le linee guida per le prestazioni di VMware. |
| Intervalli di rete di gestione | Cliente | Il cliente deve allocare e definire l'intervallo di rete CIDR per le appliance e le risorse di gestione. |
| Strumenti di gestione della configurazione | Cliente | Il cliente è responsabile dell'installazione e della gestione di tutti gli strumenti di gestione della configurazione guest. |
| Patch, aggiornamenti e upgrade | ||
| Host ESXi - hardware | Google gestisce le patch, gli aggiornamenti e gli upgrade per l'hardware host ESXi. | |
| Host ESXi - firmware | Google gestisce patch, aggiornamenti e upgrade per il firmware host ESXi. | |
| vSAN | Google gestisce l'applicazione di patch, gli aggiornamenti e gli upgrade per vSAN. | |
| vCenter | Google gestisce patch, aggiornamenti e upgrade per vCenter. | |
| vRA | Google gestisce le patch, gli aggiornamenti e gli upgrade per vRA. | |
| Log Insight | Google gestisce l'applicazione di patch, gli aggiornamenti e gli upgrade per Aria Operations for Logs. | |
| Sistema operativo e applicazioni | Cliente | Il cliente gestisce l'applicazione di patch, gli aggiornamenti e gli upgrade per i sistemi operativi e le applicazioni guest. |
| Database | Cliente | Il cliente gestisce le patch, gli aggiornamenti e gli upgrade per i database. |
| Dispositivi di sicurezza e di rete (configurazione standard) | Google Cloud e la piattaforma VMware forniscono funzionalità predefinite di VPN, gateway e firewall. Google gestisce le patch, gli aggiornamenti e gli upgrade per queste funzionalità. | |
| Dispositivi di sicurezza e di rete (configurazione aggiuntiva) | Cliente | Il cliente gestisce tutti gli strumenti specifici per il cliente. |
| NSX | Google gestisce patch, aggiornamenti e upgrade per NSX. | |
| Upgrade e modifiche | ||
| VPN/IPsec site-to-site (configurazione iniziale) | Google esegue l'upgrade dell'infrastruttura Cloud VPN. | |
| VPN/IPsec site-to-site (personalizzazione) | Cliente | Il cliente può apportare modifiche. |
| Software e configurazione di sicurezza | ||
| Sistema operativo e applicazioni VM | Cliente | Il cliente è responsabile del rispetto delle best practice per la sicurezza di VMware. |
| Strumenti antivirus e per la sicurezza | Cliente | Il cliente è responsabile dell'installazione e della gestione di antivirus, software di sicurezza e agenti negli ambienti e nei carichi di lavoro guest. |
| Crittografia vSAN (dati at-rest) | Cliente | Il cliente è responsabile del mantenimento della crittografia dei dati at-rest di vSAN abilitata e della gestione del ciclo di vita (rotazione) della chiave di crittografia della chiave (KEK). |
| Sicurezza della rete principale | ||
| Configurazione iniziale | La piattaforma fornisce funzionalità predefinite come firewall e microsegmentazione. | |
| Personalizzazione | Cliente | Il cliente deve configurare queste funzionalità in base alle proprie norme ed esigenze. |
| Conformità | ||
| Servizi e infrastruttura gestiti da Google | Google acquisisce e mantiene le certificazioni di conformità legale e del settore per i servizi e l'infrastruttura gestiti da Google. | |
| Ambienti e workload dei clienti | Cliente | Il cliente è responsabile dell'acquisizione e del mantenimento delle certificazioni di conformità legale e del settore per gli ambienti e i carichi di lavoro di proprietà del cliente. |
| Infrastruttura fisica | ||
| Elementi fisici e strutture | Google esegue il deployment, la gestione e la manutenzione dell'infrastruttura fisica, dell'alimentazione e del raffreddamento della struttura, Google Cloud delle regioni, degli host bare metal e delle apparecchiature di rete. | |
| Monitoraggio e gestione della capacità | ||
| Monitoraggio, gestione e pianificazione della capacità | Cliente | Il cliente deve monitorare e gestire la capacità, inclusi pianificazione e prenotazioni, quando esegue il provisioning di altre VM o aggiunge nodi host. |
| Pianificazione della capacità e provisioning delle risorse dell'infrastruttura | ||
| Garantire la capacità | Google garantisce una capacità sufficiente dell'infrastruttura di backend. | |
| Deployment della capacità | Google esegue il deployment della capacità dell'infrastruttura aggiuntiva in base alle necessità. | |
| Gestione del ciclo di vita dell'infrastruttura | ||
| Infrastruttura di base | Google offre l'infrastruttura di base, in particolare la piattaforma VMware di base (ESXi, vCenter, vSAN, NSX) e tutti i servizi di rete di accesso come Cloud VPN e Interconnect, come servizio. | |
| Infrastruttura e carichi di lavoro aggiuntivi | Cliente | Il cliente deve gestire tutti i componenti aggiuntivi, i sistemi operativi e i carichi di lavoro. |
| Gestione del ciclo di vita di HCX | Cliente | Il cliente è responsabile della gestione del ciclo di vita di HCX Cloud e delle appliance di servizio, come HCX-IX Interconnect. |