Beveiliging, governance en naleving voor Azure VMware Solution

In dit artikel wordt beschreven hoe u Azure VMware Solution veilig implementeert en holistisch beheert gedurende de gehele levenscyclus. In het artikel worden specifieke ontwerpelementen verkend en worden gerichte aanbevelingen geboden voor azure VMware Solution-beveiliging, -governance en -naleving.

Beveiliging

Houd rekening met de volgende factoren bij het bepalen welke systemen, gebruikers of apparaten functies kunnen uitvoeren in Azure VMware Solution en hoe u het algehele platform kunt beveiligen.

Identiteitsbeveiliging

• Limieten voor permanente toegang: Azure VMware Solution gebruikt de rol Inzender in de Azure-resourcegroep die als host fungeert voor de privécloud van Azure VMware Solution. Beperk permanente toegang om opzettelijk of onbedoeld misbruik van inzendersrechten te voorkomen. Gebruik een oplossing voor privileged accountbeheer om het gebruik van accounts met hoge bevoegdheden te controleren en te beperken.

  Maak een Microsoft Entra ID privileged access group in Azure Privileged Identity Management (PIM) voor het beheren van Microsoft Entra-gebruikers- en service-principalaccounts. Gebruik deze groep om het Azure VMware Solution-cluster te maken en te beheren met tijdgebonden, op redenen gebaseerde toegang. Zie In aanmerking komende eigenaren en leden toewijzen voor groepen met bevoorrechte toegang voor meer informatie.

  Gebruik controlegeschiedenisrapporten van Microsoft Entra PIM voor beheeractiviteiten, bewerkingen en toewijzingen van Azure VMware Solution. U kunt de rapporten archiveren in Azure Storage voor langetermijnretentiebehoeften voor audit. Zie Auditrapport weergeven voor privileged access group assignments in Privileged Identity Management (PIM) voor meer informatie.

• Gecentraliseerd identiteitsbeheer: Azure VMware Solution biedt cloudbeheerders- en netwerkbeheerdersreferenties voor het configureren van de VMware-privécloudomgeving. Deze beheerdersaccounts zijn zichtbaar voor alle inzenders met op rollen gebaseerd toegangsbeheer (RBAC) tot Azure VMware Solution.

  Gebruik de RBAC-mogelijkheden van de VMware-privécloud om te voorkomen dat gebruikers van de ingebouwde en netwerkbeheerder toegang hebben tot het besturingsvlak van de VMware-privécloud cloudadmin om de rol- en accounttoegang goed te beheren. Maak meerdere doelidentiteitsobjecten, zoals gebruikers en groepen, met behulp van principes met minimale bevoegdheden. Beperk de toegang tot beheerdersaccounts van Azure VMware Solution en configureer de accounts in een break-glass-configuratie. Gebruik de ingebouwde accounts alleen wanneer alle andere beheerdersaccounts onbruikbaar zijn.

  Gebruik het opgegeven cloudadmin account om Active Directory-domein Services (AD DS) of Microsoft Entra Domain Services te integreren met de VMware vCenter Server- en NSX-T-datacentrumbeheertoepassingen en beheeridentiteiten van domeinservices. Gebruik de gebruikers en groepen van domeinservices voor beheer en bewerkingen van Azure VMware Solution en sta het delen van accounts niet toe. Maak aangepaste vCenter Server-rollen en koppel deze aan AD DS-groepen voor fijnmazige bevoegde toegangsbeheer voor VMware-beheeroppervlakken voor privéclouds.

  U kunt Opties voor Azure VMware Solution gebruiken om wachtwoorden voor vCenter Server en NSX-T-datacentrum-beheerdersaccounts te draaien en opnieuw in te stellen. Configureer een regelmatige rotatie van deze accounts en draai de accounts telkens wanneer u de break-glass-configuratie gebruikt. Zie Cloudadmin-referenties roteren voor Azure VMware Solution voor meer informatie.

• Identiteitsbeheer voor gast-VM's: gecentraliseerde verificatie en autorisatie bieden voor gasten van Azure VMware Solution om efficiënt toepassingsbeheer te bieden en onbevoegde toegang tot bedrijfsgegevens en -processen te voorkomen. Azure VMware Solution-gasten en -toepassingen beheren als onderdeel van hun levenscyclus. Configureer gast-VM's voor het gebruik van een gecentraliseerde oplossing voor identiteitsbeheer om beheer en toepassingsgebruik te verifiëren en autoriseren.

  Gebruik een gecentraliseerde AD DS- of Lightweight Directory Access Protocol-service (LDAP) voor azure VMware Solution-gast-VM's en toepassingsidentiteitsbeheer. Zorg ervoor dat de architectuur van domeinservices accounts voor eventuele storingsscenario's, om ervoor te zorgen dat de functionaliteit tijdens storingen blijft bestaan. Verbind de AD DS-implementatie met Microsoft Entra ID voor geavanceerd beheer en een naadloze ervaring voor gastverificatie en autorisatie.

Omgevings- en netwerkbeveiliging

• Systeemeigen netwerkbeveiligingsmogelijkheden: netwerkbeveiligingscontroles implementeren, zoals verkeer filteren, OWASP-regelnaleving (Open Web Application Security Project), unified firewall management en DDoS-beveiliging (Gedistribueerde Denial of Service).

  • Verkeer filteren bepaalt het verkeer tussen segmenten. Implementeer verkeer van gastnetwerkfilters met behulp van NSX-T-datacentrum - of nvA-mogelijkheden (network virtual appliance) om de toegang tussen gastnetwerksegmenten te beperken.

  • Naleving van OWASP Core Rule Set beschermt azure VMware Solution-gastwebtoepassingsworkloads tegen algemene webaanvallen. Gebruik de OWASP-mogelijkheden van Azure-toepassing Gateway Web Application Firewall (WAF) om webtoepassingen te beveiligen die worden gehost op Azure VMware Solution-gasten. Schakel de preventiemodus in met behulp van het nieuwste beleid en zorg ervoor dat u WAF-logboeken integreert in uw strategie voor logboekregistratie. Zie Inleiding tot Azure Web Application Firewall voor meer informatie.

  • Beheer van geïntegreerde firewallregels voorkomt dat dubbele of ontbrekende firewallregels het risico op onbevoegde toegang vergroten. Firewallarchitectuur draagt bij aan de grotere netwerkbeheer- en omgevingsbeveiligingspostuur voor Azure VMware Solution. Gebruik een stateful beheerde firewallarchitectuur die verkeerstroom, inspectie, gecentraliseerd regelbeheer en gebeurtenisverzameling mogelijk maakt.

  • DDoS-beveiliging beschermt Azure VMware Solution-workloads tegen aanvallen die financieel verlies of slechte gebruikerservaring veroorzaken. DDoS-beveiliging toepassen op het virtuele Azure-netwerk dat als host fungeert voor de ExpressRoute-beëindigingsgateway voor de Azure VMware Solution-verbinding. Overweeg het gebruik van Azure Policy voor het automatisch afdwingen van DDoS-beveiliging.

• Met VSAN-versleuteling met door de klant beheerde sleutels (CMK) kunnen Azure VMware Solution VSAN-gegevensarchieven worden versleuteld met een door de klant geleverde versleutelingssleutel die is opgeslagen in Azure Key Vault. U kunt deze functie gebruiken om te voldoen aan nalevingsvereisten, zoals voldoen aan sleutelrotatiebeleid of het beheren van belangrijke levenscyclus-gebeurtenissen. Zie Versleuteling van door de klant beheerde sleutels in rust configureren in Azure VMware Solution voor gedetailleerde implementatierichtlijnen en -limieten

• Gecontroleerde vCenter Server-toegang: Niet-gecontroleerde toegang tot de Azure VMware Solution vCenter Server kan het oppervlak van aanvallen vergroten. Gebruik een toegewezen PAW (Privileged Access Workstation) om veilig toegang te krijgen tot Azure VMware Solution vCenter Server en NSX-T Manager. Maak een gebruikersgroep en voeg een afzonderlijk gebruikersaccount toe aan deze gebruikersgroep.

• Logboekregistratie van binnenkomende internetaanvragen voor gastworkloads: Gebruik Azure Firewall of een goedgekeurde NVA die auditlogboeken onderhoudt voor binnenkomende aanvragen naar gast-VM's. Importeer deze logboeken in uw SIEM-oplossing (Security Incident and Event Management) voor de juiste bewaking en waarschuwingen. Gebruik Microsoft Sentinel om gebeurtenisgegevens en logboekregistratie van Azure te verwerken voordat u integreert met bestaande SIEM-oplossingen. Zie Microsoft Defender voor Cloud integreren met Azure VMware Solution voor meer informatie.

• Sessiebewaking voor beveiliging van uitgaande internetverbinding: gebruik regelbeheer of sessiecontrole van uitgaande internetverbinding vanuit Azure VMware Solution om onverwachte of verdachte uitgaande internetactiviteit te identificeren. Bepaal wanneer en waar uitgaande netwerkinspectie moet worden geplaatst om maximale beveiliging te garanderen. Zie De topologie en connectiviteit op ondernemingsniveau voor Azure VMware Solution voor meer informatie.

  Gebruik gespecialiseerde firewall-, NVA- en Virtual Wan-services (Wide Area Network) voor uitgaande internetverbinding in plaats van te vertrouwen op de standaardinternetconnectiviteit van Azure VMware Solution. Zie Azure VMware Solution-verkeer inspecteren met een virtueel netwerkapparaat in Azure Virtual Network voor meer informatie en aanbevelingen voor ontwerpen.

  Gebruik servicetags zoals Virtual Network FQDN-tags (Fully Qualified Domain Name) voor identificatie bij het filteren van uitgaand verkeer met Azure Firewall. Gebruik een vergelijkbare mogelijkheid voor andere NVA's.

• Centraal beheerde beveiligde back-ups: gebruik RBAC en vertraagde verwijderingsmogelijkheden om opzettelijke of onbedoelde verwijdering van back-upgegevens te voorkomen die nodig zijn om de omgeving te herstellen. Gebruik Azure Key Vault voor het beheren van versleutelingssleutels en beperk de toegang tot de opslaglocatie van back-upgegevens om het risico op verwijdering te minimaliseren.

  Gebruik Azure Backup of een andere back-uptechnologie die is gevalideerd voor Azure VMware Solution die versleuteling in transit en at rest biedt. Wanneer u Azure Recovery Services-kluizen gebruikt, gebruikt u resourcevergrendelingen en de functies voor voorlopig verwijderen om te beschermen tegen onbedoelde of opzettelijke verwijdering van back-ups. Zie Bedrijfscontinuïteit en herstel na noodgevallen voor Azure VMware Solution voor meer informatie.

Beveiliging van gasttoepassingen en VM's

• Geavanceerde detectie van bedreigingen: als u verschillende beveiligingsrisico's en gegevensschendingen wilt voorkomen, gebruikt u eindpuntbeveiliging, configuratie van beveiligingswaarschuwingen, wijzigingsbeheerprocessen en evaluatie van beveiligingsproblemen. U kunt Microsoft Defender voor Cloud gebruiken voor bedreigingsbeheer, eindpuntbeveiliging, beveiligingswaarschuwingen, besturingssysteempatching en gecentraliseerde weergave van naleving van regelgeving. Zie Microsoft Defender voor Cloud integreren met Azure VMware Solution voor meer informatie.

  Gebruik Azure Arc voor servers om uw gast-VM's te onboarden. Zodra de onboarding is uitgevoerd, gebruikt u Azure Log Analytics, Azure Monitor en Microsoft Defender voor Cloud om logboeken en metrische gegevens te verzamelen en dashboards en waarschuwingen te maken. Gebruik Microsoft Defender-beveiligingscentrum om bedreigingen te beveiligen en te waarschuwen die zijn gekoppeld aan VM-gasten. Zie Systeemeigen Azure-services integreren en implementeren in Azure VMware Solution voor meer informatie.

  Implementeer de Azure Monitor-agent op VMware vSphere-VM's voordat u een migratie start of wanneer u nieuwe gast-VM's implementeert. Configureer regels voor gegevensverzameling om metrische gegevens en logboeken te verzenden naar een Azure Log Analytics-werkruimte. Controleer na de migratie of de Azure VMware Solution VM waarschuwingen rapporteert in Azure Monitor en Microsoft Defender voor Cloud.

  U kunt ook een oplossing van een gecertificeerde Partner van Azure VMware Solution gebruiken om de beveiligingspostuur van de VIRTUELE machine te beoordelen en naleving van regelgeving te bieden aan de vereisten van Center for Internet Security (CIS).

• Beveiligingsanalyse: gebruik samenhangende verzameling, correlatie en analyses van Azure VMware Solution-VM's en andere bronnen om cyberaanvallen te detecteren. Gebruik Microsoft Defender voor Cloud als gegevensbron voor Microsoft Sentinel. Configureer Microsoft Defender for Storage, Azure Resource Manager, Domain Name System (DNS) en andere Azure-services met betrekking tot de implementatie van Azure VMware Solution. Overweeg het gebruik van een Azure VMware Solution-gegevensconnector van een gecertificeerde partner.

• Versleuteling van gast-VM's: Azure VMware Solution biedt data-at-rest-versleuteling voor het onderliggende vSAN-opslagplatform. Voor sommige workloads en omgevingen met bestandssysteemtoegang is mogelijk meer versleuteling vereist om gegevens te beveiligen. In deze situaties kunt u overwegen om versleuteling van het besturingssysteem (OS) en gegevens van de gast-VM in te schakelen. Gebruik de systeemeigen hulpprogramma's voor het versleutelen van gastbesturingssystemen om gast-VM's te versleutelen. Gebruik Azure Key Vault om de versleutelingssleutels op te slaan en te beveiligen.

• Bewaking van databaseversleuteling en activiteiten: VERsleutel SQL en andere databases in Azure VMware Solution om eenvoudige toegang tot gegevens te voorkomen in het geval van een gegevenslek. Gebruik voor databaseworkloads versleuteling-at-rest-methoden, zoals Transparent Data Encryption (TDE) of een equivalente systeemeigen databasefunctie. Zorg ervoor dat workloads versleutelde schijven gebruiken en dat gevoelige geheimen worden opgeslagen in een sleutelkluis die is toegewezen aan de resourcegroep.

  Gebruik Azure Key Vault voor door de klant beheerde sleutels in BYOK-scenario's (Bring Your Own Key), zoals BYOK voor Transparent Data Encryption (TDE) van Azure SQL Database. Scheid waar mogelijk taken voor sleutelbeheer en gegevensbeheer. Zie Azure Key Vault gebruiken met Always Encrypted met beveiligde enclaves voor een voorbeeld van hoe SQL Server 2019 Key Vault gebruikt.

  Bewaken op ongebruikelijke databaseactiviteiten om het risico van een insider-aanval te verminderen. Gebruik systeemeigen databasebewaking, zoals Activity Monitor of een door Azure VMware Solution gecertificeerde partneroplossing. Overweeg het gebruik van Azure-databaseservices voor verbeterde controlebesturingselementen.

• Uitgebreide ESU-sleutels (Beveiligingsupdate: ESU-sleutels opgeven en configureren voor het pushen en installeren van beveiligingsupdates op Azure VMware Solution-VM's). Gebruik de Hulpprogramma voor volumeactivering voor het configureren van ESU-sleutels voor het Azure VMware Solution-cluster. Zie Uitgebreide beveiligingsupdates verkrijgen voor in aanmerking komende Windows-apparaten voor meer informatie.

• Codebeveiliging: Implementeer beveiligingsmaatregel in DevOps-werkstromen om beveiligingsproblemen in Azure VMware Solution-workloads te voorkomen. Gebruik moderne verificatie- en autorisatiewerkstromen, zoals Open Authorization (OAuth) en OpenID Connect.

  Gebruik GitHub Enterprise Server in Azure VMware Solution voor een opslagplaats met versiebeheer die de integriteit van de codebasis garandeert. Implementeer build- en runagents in Azure VMware Solution of in een beveiligde Azure-omgeving.

Beheer

Overweeg de volgende aanbevelingen te implementeren bij het plannen van omgevings- en gast-VM-governance.

Omgevingsbeheer

• vSAN-opslagruimte: Onvoldoende vSAN-opslagruimte kan van invloed zijn op SLA-garanties. Bekijk en begrijp de verantwoordelijkheden van klanten en partners in de SLA voor Azure VMware Solution. Wijs de juiste prioriteiten en eigenaren toe voor waarschuwingen voor de metrische gegevensopslagschijf die wordt gebruikt. Zie Waarschuwingen configureren en werken met metrische gegevens in Azure VMware Solution voor meer informatie en richtlijnen.

• Opslagbeleid voor VM-sjablonen: Een standaardbeleid voor opslag met dik ingerichte opslag kan ertoe leiden dat er te veel vSAN-opslag wordt reserveert. Vm-sjablonen maken die gebruikmaken van een opslagbeleid met thin provisioning, waarbij geen ruimtereservering is vereist. Vm's die niet de volledige hoeveelheid opslagruimte vooraf reserveren, maken efficiëntere opslagresources mogelijk.

• Beheer van hostquota: onvoldoende hostquota kunnen leiden tot vertragingen van 5-7 dagen bij het verkrijgen van meer hostcapaciteit voor noodherstel- of noodherstelbehoeften. Factor growth and DR requirements into solution design when requesting the host quota, and periodiek review environment growth and maximums to ensure proper lead time for expansion requests. Als een Azure VMware Solution-cluster met drie knooppunten bijvoorbeeld nog drie knooppunten nodig heeft voor herstel na noodgeval, vraagt u een hostquotum van zes knooppunten aan. Voor hostquotumaanvragen worden geen extra kosten in rekening gebracht.

• FTT-governance (Failure to-tolerate): stel FTT-instellingen in die in overeenstemming zijn met de clustergrootte om de SLA voor Azure VMware Solution te onderhouden. Pas het vSAN-opslagbeleid aan op de juiste FTT-instelling bij het wijzigen van de clustergrootte om ervoor te zorgen dat sla-naleving wordt gegarandeerd.

• ESXi-toegang: toegang tot Azure VMware Solution ESXi-hosts is beperkt. Software van derden waarvoor ESXi-hosttoegang is vereist, werkt mogelijk niet. Identificeer alle door Azure VMware Solution ondersteunde software van derden in de bronomgeving die toegang nodig heeft tot de ESXi-host. Raak vertrouwd met en gebruik het ondersteuningsaanvraagproces van Azure VMware Solution in Azure Portal voor situaties waarin toegang tot de ESXi-host nodig is.

• ESXi-hostdichtheid en -efficiëntie: voor een goed rendement op investeringen (ROI) begrijpt u het gebruik van ESXi-hosts. Definieer een gezonde dichtheid van gast-VM's om investeringen in Azure VMware Solution te maximaliseren en bewaak het totale knooppuntgebruik tegen die drempelwaarde. Wijzig het formaat van de Azure VMware Solution-omgeving wanneer bewaking aangeeft en sta voldoende doorlooptijd toe voor toevoegingen van knooppunten.

• Netwerkbewaking: bewaak intern netwerkverkeer voor schadelijk of onbekend verkeer of gecompromitteerde netwerken. Implementeer vMware Network Insight (vRNI) en vMware Operations (vROps) voor gedetailleerde inzichten in netwerkbewerkingen van Azure VMware Solution.

• Waarschuwingen voor beveiliging, gepland onderhoud en Service Health: inzicht krijgen in servicestatus en deze weergeven om storingen en problemen op de juiste manier te plannen en erop te reageren. Configureer Service Health-waarschuwingen voor problemen met de Azure VMware Solution-service, gepland onderhoud, statusadviezen en beveiligingsadviezen. Werkbelastingactiviteiten van Azure VMware Solution plannen en plannen buiten de door Microsoft voorgestelde onderhoudsvensters.

• Kostenbeheer: Bewaak de kosten voor goede financiële verantwoording en budgettoewijzing. Gebruik een oplossing voor kostenbeheer voor het bijhouden van kosten, kostentoewijzing, budget maken, kostenwaarschuwingen en goed financieel beheer. Voor gefactureerde kosten in Azure gebruikt u Microsoft Cost Management-hulpprogramma's om budgetten te maken, waarschuwingen te genereren, kosten toe te wijzen en rapporten te produceren voor financiële belanghebbenden.

• Integratie van Azure-services: Vermijd het gebruik van het openbare eindpunt van het Azure Platform as a Service (PaaS), wat kan leiden tot verkeer dat de gewenste netwerkgrenzen verlaat. Gebruik een privé-eindpunt voor toegang tot Azure-services zoals Azure SQL Database en Azure Blob Storage om ervoor te zorgen dat verkeer binnen een gedefinieerde grens van een virtueel netwerk blijft.

Workloadtoepassing en VM-governance

Bewustzijn van beveiligingspostuur voor azure VMware Solution-workload-VM's helpt u inzicht te krijgen in de gereedheid en reactie op cyberbeveiliging en een volledige beveiligingsdekking te bieden voor gast-VM's en toepassingen.

• Schakel Microsoft Defender voor Cloud in voor het uitvoeren van Azure-services en AZURE VMware Solution-toepassings-VM-workloads.

• Gebruik servers met Azure Arc om gast-VM's van Azure VMware Solution te beheren met hulpprogramma's waarmee systeemeigen Azure-resourcehulpprogramma's worden gerepliceerd, waaronder:

  • Azure Policy voor het beheren, rapporteren en controleren van machineconfiguraties en -instellingen
  • Azure Automation State Configuration en ondersteunde extensies om implementaties te vereenvoudigen
  • Updatebeheer voor het beheren van updates voor de azure VMware Solution-toepassings-VM liggend
  • Tags voor het beheren en organiseren van vm-inventaris van Azure VMware Solution-toepassingen

  Zie het overzicht van servers met Azure Arc voor meer informatie.

• Beheer van workload-VM-domeinen: als u foutgevoelige handmatige processen wilt voorkomen, gebruikt u extensies zoals de JsonADDomainExtension of equivalente automatiseringsopties om gast-VM's van Azure VMware Solution in staat te stellen automatisch lid te worden van een Active Directory-domein.

• Logboekregistratie en bewaking van workload-VM's: schakel diagnostische metrische gegevens en logboekregistratie op workload-VM's in om eenvoudiger problemen met het besturingssysteem en de toepassing op te sporen. Implementeer logboekverzamelings- en querymogelijkheden die snelle reactietijden bieden voor foutopsporing en probleemoplossing. Schakel bijna realtime VM-inzichten in op workload-VM's voor promptdetectie van prestatieknelpunten en operationele problemen. Configureer logboekwaarschuwingen om grensvoorwaarden voor workload-VM's vast te leggen.

  Implementeer de Azure Monitor-agent op VMware vSphere-workload-VM's vóór de migratie of bij het implementeren van nieuwe workload-VM's in de Azure VMware Solution-omgeving. Configureer regels voor gegevensverzameling om metrische gegevens en logboeken te verzenden naar een Azure Log Analytics-werkruimte en koppel de Azure Log Analytics-werkruimte aan Azure Automation. Valideer de status van vm-bewakingsagents voor workloads die vóór de migratie met Azure Monitor zijn geïmplementeerd.

• Updatebeheer voor workload-VM's: vertraagde of onvolledige updates of patches zijn belangrijke aanvalsvectoren die kunnen leiden tot het blootstellen of in gevaar brengen van azure VMware Solution-workload-VM's en toepassingen. Zorg ervoor dat installaties tijdig worden bijgewerkt op gast-VM's.

• Beheer van vm-back-ups van workloads: plan regelmatige back-ups om gemiste back-ups te voorkomen of te vertrouwen op oude back-ups die kunnen leiden tot gegevensverlies. Gebruik een back-upoplossing die geplande back-ups kan maken en het succes van de back-up kan controleren. Bewaak en waarschuw bij back-up gebeurtenissen om ervoor te zorgen dat geplande back-ups correct worden uitgevoerd.

• Beheer van herstel na noodgeval: RPO-vereisten (Undocumented Recovery Point Objective) en RTO-vereisten (Recovery Time Objective) voor workload-VM's kunnen slechte klantervaringen veroorzaken en operationele doelstellingen ongedaan maken tijdens BCDR-gebeurtenissen (bedrijfscontinuïteit en herstel na noodgevallen). Implementeer DR-indeling om vertragingen in bedrijfscontinuïteit te voorkomen.

  Gebruik een DR-oplossing voor Azure VMware Solution die dr-indeling biedt en detecteert en rapporteert over fouten of problemen met geslaagde continue replicatie naar een DR-site. Documenteer RPO- en RTO-vereisten voor toepassingen die worden uitgevoerd in Azure en Azure VMware Solution. Kies een noodherstel- en bedrijfscontinuïteitsoplossingsontwerp dat voldoet aan de verifieerbare RPO- en RTO-vereisten via indeling.

Naleving

Overweeg en implementeer de volgende aanbevelingen bij het plannen van de Azure VMware Solution-omgeving en workload-VM-naleving.

• Microsoft Defender voor Cloud bewaking: Gebruik de weergave naleving van regelgeving in Defender voor Cloud om de naleving van beveiligings- en regelgevingsbenchmarks te controleren. Configureer Defender voor Cloud werkstroomautomatisering om eventuele afwijkingen van het verwachte nalevingspostuur bij te houden. Zie Microsoft Defender voor Cloud overzicht voor meer informatie.

• Naleving van DR-naleving van workload-VM's: traceer dr-configuratienaleving voor vm's van Azure VMware Solution-workloads om ervoor te zorgen dat hun bedrijfskritieke toepassingen beschikbaar blijven tijdens een noodgeval. Gebruik Azure Site Recovery of een door Azure VMware Solution gecertificeerde BCDR-oplossing, die replicatie op schaal biedt, niet-nalevingsstatusbewaking en automatisch herstel.

• Naleving van vm-back-ups van werkbelastingen: vm-back-upnaleving van Azure VMware Solution bijhouden en bewaken om ervoor te zorgen dat er een back-up van de VM's wordt gemaakt. Gebruik een door Azure VMware Solution gecertificeerde partneroplossing die perspectief op schaal biedt, analyse inzoomen en een uitvoerbare interface voor het bijhouden en bewaken van vm-back-ups van workloads.

• Naleving die specifiek is voor land/regio of branche: om dure juridische acties en boetes te voorkomen, moet u ervoor zorgen dat workloads van Azure VMware Solution voldoen aan regelgeving die specifiek zijn voor het land/de regio en de branche. Inzicht in het model voor gedeelde verantwoordelijkheid voor de cloud voor naleving van regelgeving in de branche of regio. Gebruik de Service Trust Portal om Azure VMware Solution- en Azure Audit-rapporten te bekijken of te downloaden die ondersteuning bieden voor het hele nalevingsverhaal.

  Implementeer firewallcontrolerapportage op HTTP/S- en niet-HTTP/S-eindpunten om te voldoen aan wettelijke vereisten.

• Naleving van bedrijfsbeleid: bewaak de naleving van azure VMware Solution-workload-VM's met bedrijfsbeleid om schendingen van bedrijfsregels en -voorschriften te voorkomen. Gebruik servers met Azure Arc en Azure Policy of een equivalente oplossing van derden. Evalueer en beheer regelmatig azure VMware Solution-workload-VM's en -toepassingen voor naleving van regelgeving met toepasselijke interne en externe regelgeving.

• Vereisten voor gegevensretentie en -verblijf: Azure VMware Solution biedt geen ondersteuning voor het bewaren of extraheren van gegevens die zijn opgeslagen in clusters. Als u een cluster verwijdert, worden alle actieve workloads en onderdelen beëindigd en worden alle clustergegevens en configuratie-instellingen vernietigd, inclusief openbare IP-adressen. Deze gegevens kunnen niet worden hersteld.

• Gegevensverwerking: lees en begrijp de juridische voorwaarden wanneer u zich aanmeldt. Let op de VMware-gegevensverwerkingsovereenkomst voor klanten van Microsoft Azure VMware Solution die zijn overgedragen voor L3-ondersteuning. Als een ondersteuningsprobleem VMware-ondersteuning nodig heeft, deelt Microsoft professionele servicegegevens en bijbehorende persoonlijke gegevens met VMware. Vanaf dat moment fungeren Microsoft en VMware als twee onafhankelijke gegevensprocessors.

Volgende stappen

Dit artikel is gebaseerd op de architectuurprincipes en richtlijnen voor architectuurontwerp op ondernemingsniveau van Cloud Adoption Framework. Zie voor meer informatie:

• Ontwerpprincipes voor Azure-landingszones
• Ontwerprichtlijnen voor Azure-landingszones

Het artikel maakt deel uit van een reeks die principes en aanbevelingen voor landingszones op ondernemingsniveau toepast op Azure VMware Solution-implementaties. Andere artikelen in de reeks zijn:

• Identiteits- en toegangsbeheer op ondernemingsniveau voor Azure VMware Solution
• Netwerktopologie en -connectiviteit op ondernemingsniveau voor Azure VMware Solution
• Platformautomatisering op ondernemingsniveau en DevOps voor Azure VMware Solution
• Bedrijfscontinuïteit en herstel na noodgevallen voor Azure VMware Solution

Lees het volgende artikel in de reeks:

Beheer en bewaking op ondernemingsniveau voor Azure VMware Solution