Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

サービスの処理

共同作成者
PDF

Cloud Volumes Service チームはGoogle Cloudでバックエンドサービスを管理し、複数の戦略を使用してプラットフォームを保護し、不要なアクセスを防止します。

お客様ごとに固有のサブネットが割り当てられ、デフォルトで他のお客様から遮断されたアクセス権が付与される。Cloud Volumes Service の各テナントは、データを完全に分離するために独自のネームスペースとVLANを取得する。ユーザが認証されると、Service Delivery Engine(SDE;サービス提供エンジン)はそのテナントに固有の設定データのみを読み取ることができます。

物理的セキュリティ

事前承認が必要な場合、ケージとラックにアクセスできるのは、オンサイトエンジニアとネットアップ認定のフィールドサポートエンジニア(FSE)のみです。ストレージとネットワークの管理は許可されていません。ハードウェアのメンテナンス作業を実行できるのは、これらのオンサイトリソースのみです。

オンサイトエンジニアの場合は、作業仕様書(SOW)のチケットが発行されます。この作業内容には、ラックIDとデバイスの場所(RU)、その他すべての詳細情報が含まれます。NetApp FSEの場合、サイト訪問チケットはColoで発行する必要があります。チケットには、監査を目的とした訪問者の詳細、日付、時刻が含まれています。FSEのSOWは、社内でネットアップに通知されます。

運用チーム

Cloud Volumes Service の運用チームは、クラウドボリュームサービス向けの生産エンジニアリングとサイト信頼性エンジニア(SRE)、およびハードウェア向けのネットアップフィールドサポートエンジニアとパートナーで構成されています。すべての運用チームメンバーは、Google Cloudでの作業が認定されており、発行されたチケットごとに詳細な作業記録が保持されています。また、各意思決定が適切に精査されるように、厳格な変更管理および承認プロセスが用意されています。

SREチームは、コントロールプレーンと、UI要求からCloud Volumes Service のバックエンドハードウェアおよびソフトウェアにデータをルーティングする方法を管理します。SREチームは、ボリュームやinodeの最大数などのシステムリソースも管理します。SREは、カスタマーデータとやり取りしたり、カスタマーデータにアクセスしたりすることはできません。SREは、バックエンドハードウェアに対する新しいディスク交換要求やメモリ交換要求などのReturn Material Authorizations(RMA)との調整も行います。

お客様の責任

Cloud Volumes Service のお客様は、組織のActive Directoryとユーザーの役割管理だけでなく、ボリュームとデータの操作も管理します。お客様は管理者ロールを割り当てられ、ネットアップとGoogle Cloudが提供する2つの事前定義されたロール(管理者とビューア)を使用して、同じGoogle Cloudプロジェクト内の他のエンドユーザに権限を委譲できます。

管理者は、お客様のプロジェクト内の任意のVPCを、お客様が適切と判断したCloud Volumes Service にピアリングできます。Google Cloud Marketplaceサブスクリプションへのアクセスの管理、およびデータプレーンへのアクセス権を持つVPCの管理は、お客様の責任において行ってください。

悪意のあるSRE保護

Cloud Volumes Service は、悪意のあるSREが存在するシナリオやSRE資格情報が侵害された場合に、どのように保護するのかという懸念事項があります。

本番環境へのアクセスには、限られた数のSRE担当者のみが使用されます。管理者権限は、経験豊富な一部の管理者にも制限されています。Cloud Volumes Service の運用環境で実行されるすべてのアクションは記録され、ベースラインまたは疑わしいアクティビティへの異常は、セキュリティ情報およびイベント管理(SIEM)脅威インテリジェンスプラットフォームによって検出されます。その結果、悪意のあるアクションを追跡し、Cloud Volumes Service バックエンドに過剰な損害が発生する前に軽減することができます。

ボリュームのライフサイクル

Cloud Volumes Service は、サービス内のオブジェクトのみを管理し、ボリューム内のデータは管理しません。データ、ACL、ファイル所有者などを管理できるのは、ボリュームにアクセスしているクライアントだけです。これらのボリューム内のデータは保存中も暗号化され、Cloud Volumes Service インスタンスのテナントのみにアクセスできます。

Cloud Volumes Service のボリュームライフサイクルはcreate-update-deleteです。ボリュームは、ボリュームが削除されるまでボリュームのSnapshotコピーを保持します。Cloud Volumes Service 内のボリュームを削除できるのは、検証済みのCloud Volumes Service 管理者だけです。管理者がボリューム削除を要求した場合、削除の確認のためにボリューム名を入力する手順が追加で必要になります。ボリュームを削除すると、そのボリュームは削除され、リカバリできなくなります。

Cloud Volumes Service 契約を終了した場合、ネットアップは特定の期間が経過したボリュームに削除マークを付けます。この期間が終了する前に、お客様の要求に応じてボリュームをリカバリできます。

認定資格

Google Cloud向けCloud Volume サービスは、現在ISO/IEC 27001:2013およびISO/IEC 27018:2019規格に準拠しています。サービスは最近、SOC2 Type Iアテステーションレポートを受信しました。ネットアップの データ セキュリティ への取り組みとプライバシーに関する詳細については、を参照してください "コンプライアンス:データ セキュリティ とデータプライバシー"

GDPR

プライバシーに対する当社のコミットメントとGDPRへの準拠は、当社のさまざまな方法で提供されています  "お客様との契約"などです "カスタマーデータ処理補遺"が含まれます  "標準契約条項" 欧州委員会が提供します。また、当社のプライバシーポリシーには、当社の企業行動規範に規定されている中核的な価値観に裏付けられたこれらのコミットメントを定めています。