VMware Engine の責任共有モデル
このページでは、Google Cloud VMware Engine をご利用のお客様の責任範囲と、Google の責任範囲について説明します。
はじめに
での信頼できるセキュリティは、サービス プロバイダとしての Google とお客様との責任の共有によって達成されます。 Google Cloud このモデルは、より高いセキュリティを提供し、単一障害点を排除することを目的としています。以降のセクションでは、役割ごとの責任について説明します。
共有責任マトリックス
次の表に、Google とお客様が管理するアクティビティの詳細を示した責任の共有マトリックスを示します。
| アクティビティ | 責任範囲 | コメント |
|---|---|---|
| モニタリングとアラート | ||
| VM OS とアプリケーション(インフラストラクチャ) | Google は、VM インフラストラクチャの健全性と可用性をモニタリングします。 | |
| VM OS とアプリケーション(パフォーマンス) | 顧客 | お客様は、VMware の専門知識を提供し、VMware のパフォーマンス ガイドラインに準拠する必要があります。 |
| vSAN | Google は、vSAN ストレージの健全性と可用性をモニタリングします。 | |
| ネットワーク オーバーレイ | Google は、NSX インフラストラクチャ デバイス(Edge Gateway デバイス、コントローラ)の健全性と、物理 VLAN を介して提供されるインフラストラクチャの基盤となるネットワーキング(アンダーレイ)をモニタリングします。 | |
| NSX | 顧客 | お客様は、NSX を使用してオーバーレイ ネットワーキングを自己管理できます。NSX のすべての機能を使用でき、お客様がモニタリングと管理を行います。お客様は、アンダーレイのファイアウォール ルール、パブリック IP アドレス、VPC ピアリングを構成できます。 |
| VPN/サイト間 IPsec(サービスの状態) | Google は Cloud VPN を使用して VPN をサービスとして提供し、VPN デバイスの健全性をモニタリングします。 | |
| VPN/サイト間 IPsec(オンプレミスと NSX の VPN デバイス) | 顧客 | お客様はオンプレミス デバイスをモニタリングする必要があります。また、NSX の VPN デバイスを自己管理してモニタリングすることもできます。 |
| ESXi ホスト | VMware プラットフォーム(ESXi、vCenter、vSAN、NSX)またはインフラストラクチャ ハードウェアのサポートが必要な場合は、Google がサポートを提供します。 | |
| セキュリティ デバイスとネットワーク デバイス | Google Cloud と VMware プラットフォームは、デフォルトの VPN、ゲートウェイ、ファイアウォール機能を提供します。Google はこれらのデバイスの健全性を管理し、お客様は顧客固有のツールを管理します。 | |
| HCX | Google は、デフォルトの HCX デプロイの健全性と可用性をモニタリングします。 | |
| サポート | ||
| VM OS とアプリケーション | 顧客 | OS またはアプリケーションのサポートはお客様の責任となります。 |
| vSAN | VMware プラットフォーム(ESXi、vCenter、vSAN、NSX)またはインフラストラクチャ ハードウェアのサポートが必要な場合は、Google がサポートを提供します。 | |
| ネットワーク オーバーレイ | Google はオーバーレイ ネットワーキングのサポートを提供します。 | |
| ESXi ホスト - ハードウェア | VMware プラットフォーム(ESXi、vCenter、vSAN、NSX)またはインフラストラクチャ ハードウェアのサポートが必要な場合は、Google がサポートを提供します(ホストの交換など)。 | |
| ESXi ホスト - デフォルト ソフトウェア | Google は、デフォルトでノードにデプロイされたソフトウェアを管理します。 | |
| ESXi ホスト - お客様がデプロイしたソフトウェア | 顧客 | お客様は、権限昇格でデプロイするソフトウェア(Zerto など)について責任を負います。 |
| セキュリティ デバイスとネットワーク デバイス | VMware プラットフォーム(ESXi、vCenter、vSAN、NSX)またはインフラストラクチャ ハードウェアのサポートが必要な場合は、Google がサポートを提供します。 | |
| NSX | VMware プラットフォーム(ESXi、vCenter、vSAN、NSX)またはインフラストラクチャ ハードウェアのサポートが必要な場合は、Google がサポートを提供します。 | |
| VPN/サイト間 IPsec(サービスの状態) | Google は Cloud VPN を介して VPN をサービスとして提供します。 | |
| VPN/サイト間 IPsec(オンプレミスの VPN デバイス) | 顧客 | Google は Cloud VPN を介して VPN をサービスとして提供します。お客様はオンプレミス デバイスをサポートする必要があります。 |
| ISV ソフトウェアのサポート | 顧客 | お客様は、特定のソフトウェアをプライベート クラウドにデプロイする前に、独立系ソフトウェア ベンダー(ISV)にサポートを確認する必要があります。 |
| ID 管理 | ||
| 実装 | 顧客 | お客様は、オンプレミス ID ソースを Google Cloud コンソールと vCenter に統合できます。 |
| 構成と管理 | 顧客 | お客様は、vCenter と NSX のユーザー管理(ID、アクセス制御)など、ID ソースを管理および構成します。 |
| インストールとプロビジョニング | ||
| プライベート クラウド(デプロイ) | 顧客 | お客様は、 コンソール、API、CLI を介してプライベート クラウドのデプロイをトリガーします。 |
| ESXi ホスト | Google は ESXi ホストをインストールしてプロビジョニングします。 | |
| vSAN | Google は vSAN をインストールしてプロビジョニングします。 | |
| vCenter | Google は vCenter をデプロイし、基本的な構成を行います。 | |
| vRA | Google は vRA をデプロイし、基本的な構成を行います。 | |
| Log Insight | Google は Aria Operations for Logs(旧 vRealize Log Insight)をデプロイし、基本的な構成を行います。 | |
| OS とアプリケーション | 顧客 | お客様は、オペレーティング システムとアプリケーションをインストールしてプロビジョニングします。 |
| データベース | 顧客 | お客様は、データベースをインストールしてプロビジョニングします。 |
| セキュリティ デバイスとネットワーク デバイス | Google Cloud と VMware プラットフォームは、デフォルトの VPN、ゲートウェイ、ファイアウォール機能を提供します。お客様は顧客固有のツールを管理します。 | |
| NSX | Google は NSX をデプロイし、基本的な構成を行います。 | |
| VPN/サイト間 IPsec | 顧客 | お客様は、 Google Cloud プロジェクトで Cloud VPN をプロビジョニングする必要があります。 |
| HCX(初期デプロイ) | Google は HCX をデプロイし、基本的な構成を行います。 | |
| ワークロードの移行 | 顧客 | お客様は、VM とワークロードをプライベート クラウドに移行し、移行ツール(HCX など)を管理する必要があります。 |
| バックアップと復元 | ||
| 管理サービス | Google は、vCenter Server や NSX Manager などの管理サービスのバックアップと復元を管理します。これには、お客様のワークロードは含まれません。 | |
| お客様のワークロード | 顧客 | お客様は、お客様の環境とワークロードのバックアップ ソフトウェアのインストール、構成、管理を行う必要があります。 |
| 構成と管理 | ||
| ESXi ホスト | Google は ESXi ホストの構成を管理します。 | |
| vSAN(初期構成とデフォルト構成) | Google は vSAN の初期構成を管理します。 | |
| vSAN(デフォルト以外の構成) | 顧客 | お客様は構成を変更できます(ストレージ ポリシーの変更など)。 |
| vCenter(初期構成) | Google は vCenter をデプロイし、基本的な構成を行います。 | |
| vCenter(カスタマイズ) | 顧客 | お客様は、ID ソース、外部ユーザー、DRS/HA ポリシー、vSAN ポリシー、NSX サブネット、アドオン アプリケーションを構成する必要があります。 |
| vRA | Google は vRA の構成を管理します。 | |
| Log Insight | Google は Aria Operations for Logs の構成を管理します。 | |
| OS とアプリケーション | 顧客 | お客様は、オペレーティング システムとアプリケーションの構成を管理します。 |
| データベース | 顧客 | お客様は、データベースの構成を管理します。 |
| セキュリティ デバイスとネットワーク デバイス | Google は、デフォルトのセキュリティ デバイスとネットワーク デバイスの構成を管理します。 | |
| SAN/ストレージ | Google は、ストレージ エリア ネットワーク(SAN)とストレージの構成を管理します。 | |
| NSX(初期構成) | Google は、NSX、NSX Edge、コントローラをデプロイし、基本的な構成を行います。 | |
| NSX(カスタマイズ) | 顧客 | お客様は、サブネット、ファイアウォール/マイクロセグメンテーション、その他のオプション デバイスを構成し、継続的な管理を行う必要があります。 |
| VPN/サイト間 IPsec | Google は、デフォルトの VPN とサイト間 IPsec 機能の構成を管理します。 | |
| VM チューニング | 顧客 | お客様は、VMware のパフォーマンス ガイドラインに準拠する必要があります。 |
| 管理ネットワーク範囲 | 顧客 | お客様は、管理アプライアンスとリソースの CIDR ネットワーク範囲を割り当てて定義する必要があります。 |
| 構成管理ツール | 顧客 | お客様は、ゲスト構成管理ツールのインストールと管理を行う必要があります。 |
| パッチ適用、更新、アップグレード | ||
| ESXi ホスト - ハードウェア | Google は、ESXi ホスト ハードウェアのパッチ適用、更新、アップグレードを行います。 | |
| ESXi ホスト - ファームウェア | Google は、ESXi ホスト ファームウェアのパッチ適用、更新、アップグレードを行います。 | |
| vSAN | Google は、vSAN のパッチ適用、更新、アップグレードを行います。 | |
| vCenter | Google は、vCenter のパッチ適用、更新、アップグレードを行います。 | |
| vRA | Google は、vRA のパッチ適用、更新、アップグレードを行います。 | |
| Log Insight | Google は、Aria Operations for Logs のパッチ適用、更新、アップグレードを行います。 | |
| OS とアプリケーション | 顧客 | お客様は、ゲスト オペレーティング システムとアプリケーションのパッチ適用、更新、アップグレードを行います。 |
| データベース | 顧客 | お客様は、データベースのパッチ適用、更新、アップグレードを行います。 |
| セキュリティ デバイスとネットワーク デバイス(標準構成) | Google Cloud と VMware プラットフォームは、デフォルトの VPN、ゲートウェイ、ファイアウォール機能を提供します。Google は、これらの機能のパッチ適用、更新、アップグレードを行います。 | |
| セキュリティ デバイスとネットワーク デバイス(追加構成) | 顧客 | お客様は顧客固有のツールを管理します。 |
| NSX | Google は、NSX のパッチ適用、更新、アップグレードを行います。 | |
| アップグレードと変更 | ||
| VPN/サイト間 IPsec(初期構成) | Google は Cloud VPN インフラストラクチャをアップグレードします。 | |
| VPN/サイト間 IPsec(カスタマイズ) | 顧客 | お客様は変更を行うことができます。 |
| セキュリティ ソフトウェアと構成 | ||
| VM OS とアプリケーション | 顧客 | お客様は、VMware のセキュリティに関するベスト プラクティスに準拠する必要があります。 |
| ウイルス対策ツールとセキュリティ ツール | 顧客 | お客様は、ゲスト環境とワークロードにウイルス対策ソフトウェア、セキュリティ ソフトウェア、エージェントをインストールして管理する必要があります。 |
| vSAN 暗号化(保存データ) | 顧客 | お客様は、vSAN データ保存時の暗号化を有効にし、鍵暗号鍵(KEK)のライフサイクル(ローテーション)を管理する必要があります。 |
| コア ネットワーク セキュリティ | ||
| 初期構成 | プラットフォームには、ファイアウォールやマイクロセグメンテーションなどのデフォルト機能が用意されています。 | |
| カスタマイズ | 顧客 | お客様は、ポリシーとニーズに合わせてこれらの機能を構成する必要があります。 |
| コンプライアンス | ||
| Google が管理するサービスとインフラストラクチャ | Google は、Google が管理するサービスとインフラストラクチャの業界および規制遵守認証を取得して維持します。 | |
| お客様の環境とワークロード | 顧客 | お客様は、お客様が所有する環境とワークロードの業界および規制コンプライアンス認証を取得して維持する必要があります。 |
| 物理インフラストラクチャ | ||
| 物理要素と設備 | Google は、物理インフラストラクチャ、施設の電力と冷却、 Google Cloud リージョン、ベアメタル ホスト、ネットワーク機器をデプロイ、管理、保守します。 | |
| 容量のモニタリングと管理 | ||
| 容量のモニタリング、管理、計画 | 顧客 | お客様は、容量をモニタリングして管理する必要があります。これには、VM のプロビジョニングやホストノードの追加時の計画と予約が含まれます。 |
| キャパシティ プランニングとインフラストラクチャ リソースのプロビジョニング | ||
| 容量の確保 | Google は、十分なバックエンド インフラストラクチャ容量を確保します。 | |
| 容量のデプロイ | Google は、必要に応じて追加のインフラストラクチャ容量をデプロイします。 | |
| インフラストラクチャのライフサイクル管理 | ||
| コア インフラストラクチャ | Google は、コア インフラストラクチャ(VMware コア プラットフォーム(ESXi、vCenter、vSAN、NSX)と、Cloud VPN や Interconnect などのすべてのアクセス ネットワーキング サービス)をサービスとして提供します。 | |
| 追加のインフラストラクチャとワークロード | 顧客 | お客様は、アドオン コンポーネント、オペレーティング システム、ワークロードを管理する必要があります。 |
| HCX のライフサイクル管理 | 顧客 | お客様は、HCX Cloud や HCX-IX Interconnect などのサービス アプライアンスのライフサイクル管理を行う必要があります。 |