Azure Local and ISO/IEC 27001:2022

W tym artykule opisano, jak usługa Azure Local pomaga organizacjom spełnić wymagania dotyczące kontroli zabezpieczeń iso/IEC 27001:2022, zarówno w chmurze, jak i lokalnie. Dowiedz się więcej o lokalnych i innych standardach zabezpieczeń platformy Azure na stronie Standardy lokalne i zabezpieczeń platformy Azure.

ISO/IEC 27001:2022

ISO/IEC 27001 to globalny standard zabezpieczeń, który określa wymagania dotyczące ustanawiania, wdrażania, obsługi, monitorowania, utrzymywania i ulepszania systemu zarządzania zabezpieczeniami informacji (ISMS). Certyfikacja iso/IEC 27001:2022 pomaga organizacjom zwiększyć poziom bezpieczeństwa, zbudować zaufanie z klientami i pomóc spełnić różne zobowiązania prawne i regulacyjne, które obejmują bezpieczeństwo informacji, takie jak PCI DSS, HIPAA, HITRUST i FedRAMP. Dowiedz się więcej o standardzie ISO /IEC 27001.

Lokalna platforma Azure

Azure Local to rozwiązanie hybrydowe, które zapewnia bezproblemową integrację między lokalną infrastrukturą organizacji a usługami w chmurze platformy Azure, pomagając skonsolidować zwirtualizowane obciążenia i kontenery oraz zwiększyć wydajność chmury, gdy dane muszą pozostać w środowisku lokalnym ze względów prawnych lub prywatnych. Organizacje ubiegające się o certyfikat ISO/IEC 27001:2022 dla swoich rozwiązań powinny rozważyć zarówno środowiska chmurowe, jak i lokalne.

Połączone usługi w chmurze

Usługa Azure Local zapewnia głęboką integrację z kilkoma usługami platformy Azure, takimi jak Azure Monitor, Azure Backup i Azure Site Recovery, w celu dostarczania nowych funkcji do środowiska hybrydowego. Te usługi w chmurze podlegają regularnym niezależnym inspekcjom innych firm pod kątem zgodności ISO/IEC 27001:2022. Możesz przejrzeć certyfikat i raport inspekcji iso/IEC 27001:2022 na temat ofert zgodności platformy Azure — ISO/IEC 27001:2022.

Ważne

Stan zgodności platformy Azure nie zapewnia akredytacji ISO/IEC 27001 dla usług, które organizacja tworzy lub hostuje na platformie Azure. Organizacje są odpowiedzialne za zapewnienie zgodności swoich operacji z wymaganiami ISO/IEC 27001:2022.

Rozwiązania lokalne

Lokalnie platforma Azure Local udostępnia szereg funkcji, które pomagają organizacjom spełnić wymagania dotyczące zabezpieczeń iso/IEC 27001:2022. Poniższe sekcje zawierają więcej informacji.

Możliwości lokalne platformy Azure związane z normą ISO/IEC 27001:2022

W tej sekcji opisano, w jaki sposób organizacje mogą korzystać z funkcji lokalnych platformy Azure w celu spełnienia mechanizmów kontroli zabezpieczeń w załączniku A iso/IEC 27001:2022. Poniższe informacje obejmują tylko wymagania techniczne. Wymagania związane z operacjami zabezpieczeń są poza zakresem, ponieważ usługa Azure Local nie może mieć na nie wpływu. Wytyczne są zorganizowane przez dziewięć domen załącznika A:

• Bezpieczeństwo sieci
• Zarządzanie tożsamościami i dostępem
• Ochrona danych
• Rejestrowanie
• Monitorowanie
• Bezpieczna konfiguracja
• Threat protection (Ochrona przed zagrożeniami)
• Tworzenie kopii zapasowej i odzyskiwanie
• Skalowalność i dostępność

Wskazówki przedstawione w tym artykule przedstawiają sposób użycia funkcji lokalnych platformy Azure w celu spełnienia wymagań każdej domeny. Należy pamiętać, że nie wszystkie kontrolki są obowiązkowe. Organizacje powinny analizować swoje środowisko i przeprowadzać ocenę ryzyka, aby określić, które mechanizmy kontroli są niezbędne. Aby uzyskać więcej informacji na temat wymagań, zobacz ISO/IEC 27001.

Bezpieczeństwo sieci

Funkcje zabezpieczeń sieci opisane w tej sekcji mogą pomóc w spełnieniu następujących mechanizmów kontroli zabezpieczeń określonych w standardzie ISO/IEC 27001.

• 8.20 — Zabezpieczenia sieci
• 8.21 — Zabezpieczenia usług sieciowych
• 8.22 — podział sieci
• 8.23 — filtrowanie sieci Web

Dzięki usłudze Azure Local możesz zastosować mechanizmy zabezpieczeń sieci w celu ochrony platformy i obciążeń uruchomionych na niej przed zagrożeniami sieciowymi poza i wewnątrz. Usługa Azure Local gwarantuje również uczciwą alokację sieci na hoście oraz zwiększa wydajność i dostępność obciążeń dzięki możliwościom równoważenia obciążenia. Więcej informacji na temat zabezpieczeń sieci w usłudze Azure Local można uzyskać w następujących artykułach.

• Omówienie zapory centrum danych
• Programowy moduł równoważenia obciążenia (SLB) dla oprogramowania Define Network (SDN)
• Brama usługi dostępu zdalnego (RAS) dla sieci SDN
• Zasady jakości usług dla obciążeń hostowanych na platformie Azure Lokalnie

Zarządzanie tożsamościami i dostępem

Funkcje zarządzania tożsamościami i dostępem opisane w tej sekcji mogą pomóc w spełnieniu następujących mechanizmów kontroli zabezpieczeń określonych w standardzie ISO/IEC 27001.

• 8.2 — Prawa dostępu uprzywilejowanego
• 8.3 — Ograniczenia dostępu do informacji
• 8.5 — Bezpieczne uwierzytelnianie

Usługa Azure Local zapewnia pełny i bezpośredni dostęp do podstawowego systemu uruchomionego na maszynach za pośrednictwem wielu interfejsów, takich jak Azure Arc i Windows PowerShell. Do zarządzania tożsamościami i dostępem do platformy można użyć konwencjonalnych narzędzi systemu Windows w środowiskach lokalnych lub rozwiązań opartych na chmurze, takich jak Microsoft Entra ID (dawniej Azure Active Directory). W obu przypadkach można korzystać z wbudowanych funkcji zabezpieczeń, takich jak uwierzytelnianie wieloskładnikowe (MFA), dostęp warunkowy, kontrola dostępu oparta na rolach (RBAC) i zarządzanie tożsamościami uprzywilejowanymi (PIM), aby zapewnić bezpieczeństwo i zgodność środowiska.

Dowiedz się więcej o zarządzaniu tożsamościami lokalnymi i dostępem w usłudze Microsoft Identity Manager i Privileged Access Management for domena usługi Active Directory Services. Dowiedz się więcej na temat zarządzania tożsamościami i dostępem opartymi na chmurze na stronie Microsoft Entra ID.

Ochrona danych

Funkcje ochrony danych opisane w tej sekcji mogą pomóc w spełnieniu następujących mechanizmów kontroli zabezpieczeń określonych w standardzie ISO/IEC 27001.

• 8.5 — Bezpieczne uwierzytelnianie
• 8.20 — Zabezpieczenia sieci
• 8.21 — Zabezpieczenia usług sieciowych
• 8.24 — korzystanie z kryptografii

Szyfrowanie danych za pomocą funkcji BitLocker

W przypadku wystąpień lokalnych platformy Azure wszystkie dane magazynowane mogą być szyfrowane za pośrednictwem 256-bitowego szyfrowania XTS-AES funkcji BitLocker. Domyślnie system zaleca włączenie funkcji BitLocker do szyfrowania wszystkich woluminów systemu operacyjnego i udostępnionych woluminów klastra (CSV) w ramach wdrożenia lokalnego platformy Azure. W przypadku wszystkich nowych woluminów magazynu dodanych po wdrożeniu należy ręcznie włączyć funkcję BitLocker, aby zaszyfrować nowy wolumin magazynu. Używanie funkcji BitLocker do ochrony danych może pomóc organizacjom zachować zgodność z normą ISO/IEC 27001. Dowiedz się więcej na temat używania funkcji BitLocker z udostępnionymi woluminami klastra (CSV).

Ochrona ruchu sieciowego zewnętrznego za pomocą protokołu TLS/DTLS

Domyślnie cała komunikacja hosta z lokalnymi i zdalnymi punktami końcowymi jest szyfrowana przy użyciu protokołów TLS1.2, TLS1.3 i DTLS 1.2. Platforma wyłącza korzystanie ze starszych protokołów/skrótów, takich jak TLS/DTLS 1.1 SMB1. Usługa Azure Local obsługuje również silne zestawy szyfrowania, takie jak krzywe eliptyczne zgodne ze standardem SDL ograniczone do krzywych NIST P-256 i P-384.

Ochrona ruchu sieciowego wewnętrznego za pomocą bloku komunikatów serwera (SMB)

Podpisywanie protokołu SMB jest domyślnie włączone dla połączeń klienta w wystąpieniach lokalnych platformy Azure. W przypadku ruchu wewnątrz klastra szyfrowanie SMB jest opcją, która umożliwia organizacjom podczas wdrażania lub po wdrożeniu ochronę danych przesyłanych między systemami. Zestawy kryptograficzne AES-256-GCM i AES-256-CCM są teraz obsługiwane przez protokół SMB 3.1.1 używany przez ruch plików client-server i sieć szkieletową danych wewnątrz klastra. Protokół nadal obsługuje bardziej ogólnie zgodny pakiet AES-128. Dowiedz się więcej na temat ulepszeń zabezpieczeń protokołu SMB.

Rejestrowanie

Funkcje rejestrowania opisane w tej sekcji mogą pomóc w spełnieniu następujących mechanizmów kontroli zabezpieczeń określonych w standardzie ISO/IEC 27001.

• 8.15 — Rejestrowanie
• 8.17 — synchronizacja zegara

Dzienniki systemu lokalnego

Domyślnie wszystkie operacje wykonywane w ramach wystąpienia lokalnego platformy Azure są rejestrowane, aby śledzić, kto zrobił co, kiedy i gdzie na platformie. Dzienniki i alerty utworzone przez usługę Windows Defender są również uwzględniane w celu zapobiegania, wykrywania i minimalizowania prawdopodobieństwa naruszenia zabezpieczeń danych oraz ich wpływu. Jednak ponieważ dziennik systemu często zawiera dużą ilość informacji, wiele z nich jest nadmiarowych do monitorowania zabezpieczeń informacji, należy określić, które zdarzenia mają być zbierane i wykorzystywane do celów monitorowania zabezpieczeń. Funkcje monitorowania platformy Azure ułatwiają zbieranie, przechowywanie, alerty i analizowanie tych dzienników. Zapoznaj się z punktem odniesienia zabezpieczeń dla platformy Azure Local , aby dowiedzieć się więcej.

Lokalne dzienniki aktywności

Menedżer cyklu życia lokalnego platformy Azure tworzy i przechowuje dzienniki aktywności dla dowolnego wykonanego planu działania. Te dzienniki obsługują dokładniejsze badanie i monitorowanie.

Dzienniki aktywności w chmurze

Rejestrując systemy na platformie Azure, możesz użyć dzienników aktywności usługi Azure Monitor, aby rejestrować operacje na poszczególnych zasobach w warstwie subskrypcji, aby określić, co, kto i kiedy dla jakichkolwiek operacji zapisu (umieścić, opublikować lub usunąć) pobranych na zasoby w subskrypcji.

Dzienniki tożsamości w chmurze

Jeśli używasz identyfikatora Entra firmy Microsoft do zarządzania tożsamościami i dostępem do platformy, możesz wyświetlać dzienniki w raportach usługi Azure AD lub integrować je z usługą Azure Monitor, Microsoft Sentinel lub innymi narzędziami SIEM/monitorowania do zaawansowanych przypadków użycia monitorowania i analizy. Jeśli używasz lokalna usługa Active Directory, użyj rozwiązania Microsoft Defender for Identity, aby wykorzystać sygnały lokalna usługa Active Directory do identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości z naruszonymi zabezpieczeniami i złośliwych akcji wewnętrznych skierowanych do organizacji.

Integracja rozwiązania SIEM

Microsoft Defender dla Chmury i Microsoft Sentinel są natywnie zintegrowane z maszynami lokalnymi platformy Azure z obsługą usługi Arc. Dzienniki można włączyć i dołączyć do usługi Microsoft Sentinel, która zapewnia funkcję zarządzania zdarzeniami zabezpieczeń (SIEM) i automatycznego reagowania na zdarzenia zabezpieczeń (SOAR). Usługa Microsoft Sentinel, podobnie jak inne usługi w chmurze platformy Azure, jest również zgodna z wieloma dobrze ugruntowanymi standardami zabezpieczeń, takimi jak ISO/IEC 27001, co może pomóc w procesie certyfikacji. Ponadto usługa Azure Local udostępnia natywny moduł przesyłania dalej zdarzeń dziennika systemowego w celu wysyłania zdarzeń systemowych do rozwiązań SIEM innych firm.

Monitorowanie

Funkcje monitorowania opisane w tej sekcji mogą pomóc w spełnieniu następujących mechanizmów kontroli zabezpieczeń określonych w standardzie ISO/IEC 27001.

• 8.15 — Rejestrowanie

Szczegółowe informacje dotyczące platformy Azure — lokalna

Szczegółowe informacje dotyczące usługi Azure Local umożliwiają monitorowanie informacji o kondycji, wydajności i użyciu dla systemów połączonych z platformą Azure i zarejestrowanych w monitorowaniu. Podczas konfigurowania usługi Insights tworzona jest reguła zbierania danych, która określa dane do zebrania. Te dane są przechowywane w obszarze roboczym usługi Log Analytics, który jest następnie agregowany, filtrowany i analizowany w celu zapewnienia wstępnie utworzonych pulpitów nawigacyjnych monitorowania przy użyciu skoroszytów platformy Azure. Dane monitorowania dla systemów z jednym węzłem i wieloma węzłami można wyświetlić na stronie zasobów lokalnych platformy Azure lub w usłudze Azure Monitor. Dowiedz się więcej na stronie Monitorowanie usługi Azure Local za pomocą szczegółowych informacji.

Metryki dla usługi Azure Local

Metryki dla usługi Azure Local przechowuje dane liczbowe z monitorowanych zasobów do bazy danych szeregów czasowych. Eksplorator metryk usługi Azure Monitor umożliwia interaktywne analizowanie danych w bazie danych metryk i tworzenie wykresów wartości wielu metryk w czasie. Za pomocą metryk można tworzyć wykresy na podstawie wartości metryk i wizualnie korelować trendy.

Alerty dotyczące dzienników

Aby wskazać problemy w czasie rzeczywistym, skonfiguruj alerty dla usługi Azure Local, korzystając ze wstępnie istniejących przykładowych zapytań dziennika, takich jak średnie użycie procesora CPU serwera, dostępna pamięć, dostępna pojemność woluminu i nie tylko. Dowiedz się więcej na stronie Konfigurowanie alertów dla systemów lokalnych platformy Azure.

Alerty dotyczące metryk

Reguła alertu metryki monitoruje zasób, oceniając warunki metryk zasobów w regularnych odstępach czasu. Jeśli warunki zostaną spełnione, zostanie wyzwolony alert. Szereg czasowy metryki to seria wartości metryk przechwyconych w danym okresie. Te metryki umożliwiają tworzenie reguł alertów. Dowiedz się więcej na temat tworzenia alertów metryk w obszarze Alerty metryk.

Alerty dotyczące usług i urządzeń

Usługa Azure Local udostępnia alerty oparte na usłudze dotyczące łączności, aktualizacji systemu operacyjnego, konfiguracji platformy Azure i nie tylko. Dostępne są również alerty oparte na urządzeniach dotyczące błędów kondycji klastra. Możesz również monitorować wystąpienia lokalne platformy Azure i ich podstawowe składniki przy użyciu programu PowerShell lub Usługa kondycji.

Bezpieczna konfiguracja

Funkcje bezpiecznej konfiguracji opisane w tej sekcji mogą pomóc spełnić następujące wymagania dotyczące kontroli zabezpieczeń ISO/IEC 27001.

• 8.8 — Zarządzanie lukami w zabezpieczeniach technicznych
• 8.9 — Zarządzanie konfiguracją

Zabezpieczanie domyślnie

Usługa Azure Local jest domyślnie konfigurowana z użyciem narzędzi i technologii zabezpieczeń, które chronią przed nowoczesnymi zagrożeniami i są zgodne z punktami odniesienia zabezpieczeń usługi Azure Compute. Dowiedz się więcej na stronie Zarządzanie wartościami domyślnymi zabezpieczeń dla usługi Azure Local.

Ochrona dryfu

Domyślna konfiguracja zabezpieczeń i ustawienia zabezpieczonego rdzenia platformy są chronione zarówno podczas wdrażania, jak i środowiska uruchomieniowego z ochroną kontroli dryfu. Po włączeniu ochrona przed dryfem odświeża ustawienia zabezpieczeń regularnie co 90 minut, aby upewnić się, że wszelkie zmiany z określonego stanu zostaną skorygowane. To ciągłe monitorowanie i autoremediation umożliwia uzyskanie spójnej i niezawodnej konfiguracji zabezpieczeń w całym cyklu życia urządzenia. Ochronę dryfu można wyłączyć podczas wdrażania podczas konfigurowania ustawień zabezpieczeń.

Punkt odniesienia zabezpieczeń dla obciążenia

W przypadku obciążeń uruchomionych na platformie Azure Lokalnie można użyć zalecanego planu bazowego systemu operacyjnego platformy Azure (zarówno dla systemu Windows , jak i Linux) jako testu porównawczego w celu zdefiniowania punktu odniesienia konfiguracji zasobów obliczeniowych.

Aktualizacja platformy

Wszystkie składniki usługi Azure Local, w tym system operacyjny, agenci i usługi podstawowe oraz rozszerzenie rozwiązania, można łatwo obsługiwać za pomocą Menedżera cyklu życia. Ta funkcja umożliwia łączenie różnych składników w wydanie aktualizacji i weryfikowanie kombinacji wersji w celu zapewnienia współdziałania. Dowiedz się więcej na stronie Menedżer cyklu życia aktualizacji rozwiązań lokalnych platformy Azure.

Obciążenia klientów nie są objęte tym rozwiązaniem aktualizacji.

Ochrona przed zagrożeniami

Funkcjonalność ochrony przed zagrożeniami w tej sekcji może pomóc spełnić następujące wymagania dotyczące kontroli zabezpieczeń iso/IEC 27001.

• 8.7 — ochrona przed złośliwym oprogramowaniem

Program antywirusowy Windows Defender

Program antywirusowy Windows Defender to aplikacja narzędziowa umożliwiająca wymuszanie skanowania systemu w czasie rzeczywistym i okresowego skanowania w celu ochrony platform i obciążeń przed wirusami, złośliwym oprogramowaniem, programami szpiegującymi i innymi zagrożeniami. Domyślnie Program antywirusowy Microsoft Defender jest włączona w usłudze Azure Local. Firma Microsoft zaleca używanie Program antywirusowy Microsoft Defender z platformą Azure lokalnie, a nie oprogramowaniem antywirusowym i usługami wykrywania złośliwego oprogramowania, ponieważ może to mieć wpływ na zdolność systemu operacyjnego do odbierania aktualizacji. Dowiedz się więcej na stronie Program antywirusowy Microsoft Defender w systemie Windows Server.

Windows Defender Application Control (WDAC)

Kontrola aplikacji usługi Windows Defender (WDAC) jest domyślnie włączona w usłudze Azure Local w celu kontrolowania, które sterowniki i aplikacje mogą być uruchamiane bezpośrednio na każdej maszynie, co pomaga zapobiec dostępowi złośliwego oprogramowania do systemów. Dowiedz się więcej na temat zasad podstawowych zawartych w usłudze Azure Local i sposobu tworzenia zasad uzupełniających w temacie Kontrola aplikacji usługi Windows Defender dla platformy Azure Lokalnie.

Microsoft Defender for Cloud

Microsoft Defender dla Chmury z programem Endpoint Protection (włączonym za pośrednictwem planu usługi Defender for Servers) zapewnia rozwiązanie do zarządzania zabezpieczeniami z zaawansowanymi funkcjami ochrony przed zagrożeniami. Udostępnia ona narzędzia umożliwiające ocenę stanu zabezpieczeń infrastruktury, ochronę obciążeń, podniesienie alertów zabezpieczeń oraz wykonanie określonych zaleceń w celu skorygowania ataków i rozwiązania przyszłych zagrożeń. Wykonuje ona wszystkie te usługi z dużą szybkością w chmurze bez obciążeń związanych z wdrażaniem dzięki automatycznej aprowizacji i ochronie usług platformy Azure. Dowiedz się więcej na stronie Microsoft Defender dla Chmury.

Tworzenie kopii zapasowych i odzyskiwanie

Funkcje tworzenia kopii zapasowych i odzyskiwania opisane w tej sekcji mogą pomóc spełnić następujące wymagania dotyczące kontroli zabezpieczeń iso/IEC 27001.

• 8.7 — ochrona przed złośliwym oprogramowaniem
• 8.13 — Kopia zapasowa informacji
• 8.14 — nadmiarowość informacji

Klaster rozproszony

Usługa Azure Local zapewnia wbudowaną obsługę odzyskiwania po awarii zwirtualizowanych obciążeń za pośrednictwem rozproszonego klastrowania. Wdrażając rozproszone wystąpienie lokalne platformy Azure, można synchronicznie replikować zwirtualizowane obciążenia w dwóch oddzielnych lokalizacjach lokalnych i automatycznie przechodzić między nimi w tryb failover. Planowane przełączenia lokacji w tryb failover mogą wystąpić bez przestojów przy użyciu migracji na żywo funkcji Hyper-V.

Węzły klastra Kubernetes

Jeśli używasz usługi Azure Local do hostowania wdrożeń opartych na kontenerach, platforma pomaga zwiększyć elastyczność i odporność związaną z wdrożeniami usługi Azure Kubernetes. Usługa Azure Local zarządza automatycznym trybem failover maszyn wirtualnych obsługujących węzły klastra Kubernetes, jeśli wystąpi zlokalizowana awaria podstawowych składników fizycznych. Ta konfiguracja uzupełnia wysoką dostępność wbudowaną w platformę Kubernetes, która automatycznie ponownie uruchamia kontenery, które uległy awarii na tej samej lub innej maszynie wirtualnej.

Azure Site Recovery

Ta usługa umożliwia replikowanie obciążeń uruchomionych na lokalnych maszynach wirtualnych platformy Azure do chmury, dzięki czemu system informacyjny może zostać przywrócony w przypadku wystąpienia zdarzenia, awarii lub utraty nośnika magazynu. Podobnie jak w przypadku innych usług w chmurze platformy Azure usługa Azure Site Recovery ma długą ścieżkę zabezpieczeń certyfikatów, w tym HITRUST, których można użyć do obsługi procesu akredytacji. Dowiedz się więcej na stronie Ochrona obciążeń maszyn wirtualnych za pomocą usługi Azure Site Recovery w środowisku lokalnym platformy Azure.

Microsoft Azure Backup Server (MABS)

Ta usługa umożliwia tworzenie kopii zapasowych lokalnych maszyn wirtualnych platformy Azure, określając żądaną częstotliwość i okres przechowywania. Usługa MABS umożliwia tworzenie kopii zapasowych większości zasobów w środowisku, w tym:

• System State/Bare-Metal Recovery (BMR) hosta lokalnego platformy Azure
• Maszyny wirtualne gościa w systemie z lokalnym lub bezpośrednio dołączonym magazynem
• Maszyny wirtualne gościa w wystąpieniach lokalnych platformy Azure z magazynem CSV
• Przenoszenie maszyny wirtualnej w klastrze

Dowiedz się więcej na stronie Tworzenie kopii zapasowych lokalnych maszyn wirtualnych platformy Azure za pomocą usługi Azure Backup Server.

Skalowalność i dostępność

Funkcjonalność skalowalności i dostępności opisana w tej sekcji może pomóc spełnić następujące wymagania dotyczące kontroli zabezpieczeń iso/IEC 27001.

• 8.6 — Zarządzanie pojemnością
• 8.14 — nadmiarowość informacji

Modele hiperkonwergentne

Usługa Azure Local używa hiperkonwergowanych modeli Miejsca do magazynowania Direct do wdrażania obciążeń. Ten model wdrażania umożliwia łatwe skalowanie przez dodanie nowych węzłów, które automatycznie rozszerzają zasoby obliczeniowe i magazynowe w tym samym czasie z zerowym przestojem.

Klastry trybu failover

Wystąpienia lokalne platformy Azure to klastry trybu failover. Jeśli serwer, który jest częścią usługi Azure Local, ulegnie awarii lub stanie się niedostępny, inny serwer w tym samym klastrze trybu failover przejmuje zadanie świadczenia usług oferowanych przez węzeł, który uległ awarii. Klaster trybu failover można utworzyć, włączając Miejsca do magazynowania bezpośrednio na wielu maszynach z systemem Azure Local.