VMware Engine 安全性總覽
本頁面說明 VMware Engine 使用的安全防護功能,協助您保護資料和環境安全。如需詳細的客戶與 Google 責任清單,請參閱 VMware Engine 共同責任模式。
專用硬體
所有客戶都能透過 VMware Engine 服務取得專屬裸機主機,並附有與其他硬體實體隔離的本機連接磁碟。每個節點都會執行含有 vSAN 的 ESXi 管理程序。節點會透過客戶專屬的 VMware vCenter 和 NSX 進行管理。在租用戶之間不共用硬體,可提供額外的隔離和安全防護。
資料安全性
客戶保有資料的控管權和擁有權。客戶有責任管理客戶資料。
保護內部網路中靜態資料和傳輸中的資料
私有雲端環境中的靜態資料可使用 vSAN 軟體加密功能進行加密。vSAN 加密功能會使用外部金鑰管理解決方案來儲存加密金鑰。
VMware Engine 會預設為所有部署的新私有雲啟用 vSAN 靜態資料加密功能,並由 Google 管理金鑰管理基礎架構,做為服務的一部分。如要進一步瞭解預設加密模式,請參閱「關於 vSAN 加密」。
如果 KMS 必須由使用者管理,您可以選擇部署外部金鑰管理基礎架構,並在 vCenter 中將其設為金鑰供應器。如需已驗證的 KMS 供應商清單,請參閱支援的供應商。
對於傳輸中的資料,我們建議應用程式在內部網路區段內加密網路通訊。vSphere 支援透過網路加密 vMotion 流量的資料。
保護透過公用網路傳輸的資料
如要保護透過公用網路傳輸的資料,您可以為私有雲建立 IPsec 和 SSL VPN 通道。支援常見的加密方法,包括 128 位元和 256 位元的 AES。傳輸中的資料 (包括驗證、管理存取權和客戶資料) 會使用標準加密機制 (SSH、TLS 1.2 和安全 RDP) 加密。傳輸機密資訊的通訊會使用標準加密機制。
安全處置
如果服務到期或遭到終止,您必須自行移除或刪除資料。Google 會與您合作,刪除或歸還客戶協議中提供的所有客戶資料,但如果適用法律要求 Google 保留部分或所有個人資料,則不在此限。如果需要保留任何個人資料,Google 會封存資料並採取合理措施,避免客戶資料遭到進一步處理。
資料位置
應用程式資料會位於您在建立私人雲端時選取的區域。除非有特定客戶操作或觸發事件 (例如使用者設定的複本作業,將資料複製到其他 Google Cloud 區域的私有雲端),否則服務不會自行變更資料的位置。不過,如果您的用途需要,您可以跨區域部署工作負載,並設定區域間的複寫和資料遷移作業。
資料備份
VMware Engine 不會備份或封存 VMware 虛擬機器中的客戶應用程式資料。VMware Engine 會定期備份 vCenter 和 NSX 設定。在備份前,系統會使用 VMware API 在來源管理伺服器 (例如 vCenter) 上加密所有資料。加密的備份資料會傳輸至 Cloud Storage 值區並儲存在其中。
網路安全
Google Cloud VMware Engine 採用多層網路安全性。
Edge 安全性
Google Cloud VMware Engine 服務會在 Google Cloud 中執行,並採用 Google Cloud提供的基本網路安全性。這項功能適用於 VMware Engine 應用程式、專屬和私人 VMware 環境。 Google Cloud 提供內建防護機制,可防範分散式阻斷服務 (DDoS) 攻擊。VMware Engine 也遵循多層防護策略,透過實作防火牆規則和 NAT 等安全性控管機制,協助保護網路邊緣。
區隔
VMware Engine 會在邏輯上區隔第 2 層網路,限制私有雲環境中您自己的內部網路存取權。您可以使用防火牆進一步保護私有雲網路。您可以使用Google Cloud 主控台為所有網路流量定義 EW 和 NS 網路流量控制項的規則,包括私人雲端內部流量、私人雲端間流量、網際網路的一般流量,以及內部部署環境的網路流量。
安全漏洞和修補程式管理
Google 負責為受管理的 VMware 軟體 (ESXi、vCenter 和 NSX) 定期修補安全性問題。
Identity and Access Management
您可以使用 SSO 從 Google Cloud 驗證至 Google Cloud 控制台。您可以使用IAM 角色和權限授予使用者 Google Cloud 控制台存取權。
根據預設,VMware Engine 會在私有雲的 vCenter 本機網域中為您建立使用者帳戶。您可以新增本機使用者,或設定 vCenter 使用現有的身分識別來源。為此,請在私有雲中新增現有的內部識別資訊來源,或新增識別資訊來源。
預設使用者具備足夠的權限,可在私有雲中執行 vCenter 的必要日常作業,但沒有 vCenter 的完整管理員存取權。如果您暫時需要系統管理員存取權,可以在完成系統管理員工作時,提升權限一段時間。
使用私有雲時,某些第三方工具和產品可能需要使用者具備 vSphere 管理員權限。建立私有雲時,VMware Engine 也會建立具備管理員權限的解決方案使用者帳戶,可搭配第三方工具和產品使用。
法規遵循
Google Cloud 致力於持續取得更多符合重要法規遵循標準的認證。VMware Engine 已取得 ISO/IEC 27001、27017、27018、PCI-DSS、SOC 1、SOC 2 和 SOC 3 等法規遵循認證。此外, Google Cloud 業務合作協議 (BAA) 也涵蓋 VMware Engine。
如需稽核協助,請與客戶經理聯絡,取得最新的 ISO 認證、SOC 報告和自我評估。
後續步驟
- 進一步瞭解 VMware Engine 安全性共責式模型。