Поделиться через


Безопасность, управление и соответствие требованиям в решении VMware для Azure

В этой статье описывается, как безопасно реализовать и глобально управлять решением VMware для Azure в течение всего жизненного цикла. В статье рассматриваются конкретные элементы проектирования и приводятся конкретные рекомендации по безопасности, управлению и соответствию в решении VMware для Azure.

Безопасность

При принятии решения о том, какие системы, пользователи или устройства могут выполнять функции в рамках решения VMware для Azure и как защитить общую платформу, учитывайте следующие факторы.

Идентификация и безопасность

  • Ограничения постоянного доступа: решение VMware для Azure играет роль участника в группе ресурсов Azure, в которой размещается частное облако решения VMware для Azure. Ограничьте постоянный доступ, чтобы предотвратить преднамеренное или непреднамеренное нарушение прав участника. Используйте решение по управлению привилегированными учетными записями для аудита и ограничения времени использования учетных записей с высоким уровнем привилегий.

    Создайте группу привилегированного доступа Microsoft Entra ID в Azure управление привилегированными пользователями (PIM) для управления учетными записями пользователя и субъекта-службы Microsoft Entra. Используйте эту группу для создания кластера решений VMware для Azure и управления им за счет установления доступа с ограничением по времени и при предоставлении обоснования. Дополнительную информацию см. в разделе Назначение соответствующих владельцев и членов для групп привилегированного доступа.

    Используйте отчеты журнала аудита Microsoft Entra PIM для Решение Azure VMware административных действий, операций и назначений. Вы можете архивировать отчеты в службе хранилища Azure, чтобы сохранять данные аудита на долгий срок. Дополнительную информацию см. в разделе Просмотр отчета об аудите для назначений привилегированного доступа в Azure AD Privileged Identity Management (PIM).

  • Централизованное управление удостоверениями: Решение Azure VMware предоставляет учетные данные администратора облака и администратора сети для настройки частной облачной среды VMware. Эти административные учетные записи видны всем участникам, имеющим доступ к решениям Azure VMware с помощью управления доступом на основе ролей (RBAC).

    Чтобы предотвратить чрезмерное использование или злоупотребление встроенными cloudadmin пользователями и пользователями сетевого администратора для доступа к плоскости управления частным облаком VMware, используйте возможности RBAC уровня управления частным облаком VMware для правильного управления ролью и доступом к учетной записи. Создавайте несколько целевых объектов идентификации, таких как пользователи и группы, используя принципы наименьших привилегий. Ограничьте доступ к учетным записям администратора, предоставляемым решением VMware для Azure, и настройте учетные записи в конфигурации с прозрачным разделением. Используйте встроенные учетные записи только в том случае, если все другие учетные записи администраторов непригодны для использования.

    Используйте предоставленную cloudadmin учетную запись для интеграции служб домен Active Directory (AD DS) или доменных служб Microsoft Entra с сервером VMware vCenter Server и NSX-T Data Center управления приложениями и административными удостоверениями доменных служб. Используйте пользователей и группы на основе доменных служб для управления решением VMware для Azure и его эксплуатации и не разрешайте совместное использование учетных записей. Создайте пользовательские роли vCenter Server и свяжите их с группами AD DS для точного управления привилегированным доступом к поверхностям управления частным облаком VMware.

    Вы можете использовать Решение Azure VMware параметры для смены и сброса паролей учетных записей vCenter Server и NSX-T для административных учетных записей Центра обработки данных. Настройте периодическую смену этих учетных записей и меняйте учетные записи в любое время при использовании конфигурации с прозрачным разделением. Дополнительную информацию см. в разделе Смена учетных данных cloudadmin для решения VMware для Azure.

  • Управление удостоверениями гостевой виртуальной машины: обеспечьте централизованную проверку подлинности и авторизацию для гостевых решений VMware для Azure, чтобы эффективно управлять приложениями и предотвратить несанкционированный доступ к бизнес-данным и процессам. Управляйте гостями и приложениями решения VMware для Azure в рамках их жизненного цикла. Настройте гостевые виртуальные машины для использования централизованного решения по управлению удостоверениями, чтобы выполнять аутентификацию и проверку подлинности для управления и использования приложений.

    Используйте централизованную службу AD DS или протокол Lightweight Directory Access Protocol (LDAP) для гостевых виртуальных машин Azure VMware и управления удостоверениями приложений. Проверьте, что учетные записи архитектуры доменных служб продолжают бесперебойную работу в любых сценариях сбоя. Подключите реализацию AD DS с идентификатором Microsoft Entra для расширенного управления и простой гостевой проверки подлинности и авторизации.

Безопасность среды и сети

  • Встроенные возможности безопасности сети: реализуйте средства управления безопасностью сети, такие как фильтрация трафика, Open Web Application Security Project (OWASP), унифицированное управление брандмауэрами и защита от атак типа «отказ в обслуживании» (DDoS).

    • Фильтрация трафика контролирует трафик между сегментами. Реализация устройств фильтрации трафика гостевой сети с помощью центра обработки данных NSX-T или возможностей виртуального сетевого устройства (NVA) для ограничения доступа между сегментами гостевой сети.

    • Соответствие набора правил OWASP Core защищает рабочие нагрузки гостевых веб-приложений VMware для Azure от универсальных веб-атак. Используйте возможности OWASP брандмауэра веб-приложения шлюза приложений Azure (WAF) для защиты веб-приложений, размещенных в гостевых решениях VMware для Azure. Включите режим предотвращения, используя последнюю политику, и обеспечьте интеграцию журналов WAF с вашей стратегией ведения журнала. Дополнительные сведения см. в разделе Что такое брандмауэр веб-приложения Azure?

    • Единое управление правилами брандмауэра предотвращает дублирование или исчезновение правил брандмауэра, не позволяя увеличить риск несанкционированного доступа. Архитектура брандмауэра вносит свой вклад в оптимизацию управления сетью и повышение уровня безопасности среды решения VMware для Azure. Используйте управляемую архитектуру брандмауэра с отслеживанием состояния, которая обеспечивает поток трафика, проверку, централизованное управление правилами и сбор событий.

    • Защита от DDoS-атак защищает рабочие нагрузки решения VMware для Azure от атак, которые могут привести к финансовым убыткам или неудобству работы пользователей. Используйте функцию защиты от DDoS-атак в виртуальной сети Azure, в которой размещен шлюз завершения ExpressRoute для подключения решения Azure VMware. Рассмотрите возможность использования политики Azure для автоматического применения функции защиты от DDoS-атак.

  • Шифрование VSAN с помощью ключей, управляемых клиентом (CMK), позволяет Решение Azure VMware хранилища данных VSAN шифроваться с помощью предоставленного клиентом ключа шифрования, хранящегося в Azure Key Vault. Эту функцию можно использовать для удовлетворения требований соответствия требованиям, таких как применение политик смены ключей или управление событиями жизненного цикла ключей. Подробные рекомендации по реализации и ограничения см. в разделе "Настройка шифрования ключей, управляемых клиентом" в Решение Azure VMware

  • Контролируемый доступ к vCenter Server: неконтролируемый доступ к Решение Azure VMware vCenter Server может увеличить область поверхности атаки. Используйте выделенную рабочую станцию привилегированного доступа (PAW) для безопасного доступа Решение Azure VMware vCenter Server и NSX-T Manager. Создайте группу пользователей и добавьте учетную запись отдельного пользователя в эту группу пользователей.

  • Ведение журнала входящих интернет-запросов для гостевых рабочих нагрузок: используйте брандмауэр Azure или утвержденный NVA, который поддерживает журналы аудита для входящих запросов к гостевым виртуальным машинам. Импортируйте эти журналы в решение по управлению инцидентами и событиями (SIEM) для обеспечения соответствующего мониторинга и оповещений. Используйте Microsoft Sentinel для обработки сведений о событиях Azure и ведения журнала перед интеграцией в существующие решения SIEM. Дополнительные сведения см. разделе Интеграция Microsoft Defender для облака с решением VMware для Azure.

  • Наблюдение за сеансом для обеспечения безопасности исходящих подключений к Интернету: используйте управление правилами или аудит сеансов исходящего подключения к Интернету из решения VMware для Azure для обнаружения непредвиденных или подозрительных исходящих интернет-операций. Определите, когда и где следует проводить проверки исходящего сетевого трафика для обеспечения максимальной безопасности. Дополнительные сведения см. в разделе Корпоративная топология сети и подключение в решении VMware для Azure.

    Используйте специализированные службы брандмауэра, NVA и виртуальной глобальной сети (Virtual WAN) для исходящего подключения к Интернету, чтобы не полагаться на подключение к Интернету, предоставляемое решением VMware для Azure по умолчанию. Дополнительные сведения и рекомендации по проектированию см. в разделе Проверка трафика решения VMware для Azure с помощью виртуального сетевого устройства в виртуальной сети Azure.

    Используйте теги служб, например Virtual Network и теги полного доменного имени (FQDN), для идентификации при фильтрации исходящего трафика с помощью брандмауэра Azure. Используйте аналогичные возможности для других NVA.

  • Централизованно управляемые резервные копии системы безопасности: используйте возможности RBAC и отложенного удаления, чтобы предотвратить намеренное или случайное удаление данных резервного копирования, необходимых для восстановления среды. Используйте Azure Key Vault для управления ключами шифрования и ограничьте доступ к хранилищу данных резервных копий, чтобы снизить риск удаления.

    Используйте Azure Backup или другую технологию резервного копирования, которая утверждена для использования с решением VMware для Azure и обеспечивает шифрование передающихся и неактивных данных. Для хранилищ служб Azure Recovery используйте блокировки ресурсов и функции обратимого удаления, чтобы защититься от случайного или намеренного удаления резервных копий. Дополнительные сведения см. в разделе Непрерывность бизнес-процессов и аварийное восстановление для решения VMware для Azure.

Безопасность гостевого приложения и виртуальной машины

  • Расширенное обнаружение угроз: чтобы избежать различных угроз безопасности и нарушений данных, используйте защиту конечных точек, настройку предупреждений системы безопасности, процессы управления изменениями и оценки уязвимостей. Вы можете использовать Microsoft Defender для облака для управления угрозами, защиты конечных точек, оповещений системы безопасности, исправлений ОС и централизованного представления нормативных требований. Дополнительные сведения см. разделе Интеграция Microsoft Defender для облака с решением VMware для Azure.

    Используйте Azure Arc для серверов, чтобы подключить гостевые виртуальные машины. После подключения используйте Azure Log Analytics, Azure Monitor и Microsoft Defender для облака, чтобы собирать журналы и метрики, а затем создавайте панели мониторинга и оповещения. Используйте Центр безопасности в Microsoft Defender для защиты и оповещений об угрозах, связанных с гостевыми виртуальными машинами. Дополнительные сведения см. в разделе Интеграция и развертывание собственных служб Azure в решении VMware для Azure.

    Разверните агент Azure Monitor на виртуальных машинах VMware vSphere перед началом миграции или при развертывании новых гостевых виртуальных машин. Настройте правила сбора данных для отправки метрик и журналов в рабочую область Azure Log Analytics. После миграции проверьте, что виртуальная машина Azure VMware сообщает об оповещениях в Azure Monitor и Microsoft Defender для облака.

    Кроме того, вы можете использовать решение от сертифицированного партнера VMware для Azure, чтобы оценить уровень безопасности виртуальной машины и обеспечить соответствие нормативным требованиям Центра Интернет-безопасности (CIS).

  • Аналитика безопасности: используйте единую коллекцию событий безопасности, корреляцию и аналитику из виртуальных машин решения VMware для Azure и других источников для обнаружения кибератак. Использование Microsoft Defender для облака в качестве источника данных для Microsoft Sentinel. Настройте Microsoft Defender для хранилища, Azure Resource Manager, службу доменных имен (DNS) и другие сервисы Azure, связанные с развертыванием решения VMware для Azure. Рассмотрите возможность использования соединителя данных решения VMware для Azure от сертифицированного партнера.

  • Шифрование гостевой виртуальной машины: решение Azure VMware обеспечивает шифрование неактивных данных для базовой платформы хранения vSAN. Некоторые рабочие нагрузки и среды с доступом к файловой системе могут потребовать больше шифрования для защиты данных. В таких ситуациях рекомендуется включить шифрование операционной системы гостевой виртуальной машины (ОС) и данных. Используйте собственные средства шифрования гостевой ОС для шифрования гостевых виртуальных машин. Используйте Azure Key Vault для хранения и защиты ключей шифрования.

  • Мониторинг шифрования и активности базы данных: зашифруйте SQL и другие базы данных в решении VMware для Azure, чтобы предотвратить простой доступ к данным в случае нарушения целостности данных. Для рабочих нагрузок базы данных используйте методы шифрования неактивных данных (TDE) или эквивалентную функцию собственной базы данных. Убедитесь, что рабочие нагрузки используют зашифрованные диски, а конфиденциальные секреты хранятся в хранилище ключей, выделенном для группы ресурсов.

    Используйте Azure Key Vault для управляемых клиентом ключей в сценариях создания собственных ключей (BYOK), например BYOK для прозрачного шифрования данных (TDE) для Базы данных SQL Azure. Когда это возможно, разделяйте обязанности по управлению ключами и управлению данными. Пример использования Key Vault сервером SQL Server 2019 см. в разделе Использование Azure Key Vault с анклавами безопасности Always Encrypted.

    Отслеживайте необычные действия с базами данных, чтобы снизить риск атаки изнутри. Используйте собственный мониторинг базы данных, например Activity Monitor или сертифицированное партнерское решение VMware для Azure. Рассмотрите возможность использования служб базы данных Azure для расширенных элементов управления аудитом.

  • Ключи расширенного обновления для системы безопасности (ESU): укажите и настройте ключи ESU для отправки и установки обновлений безопасности на виртуальных машинах VMware для Azure. Используйте средство управления активацией корпоративных лицензий для настройки ключей ESU для кластера решений VMware для Azure. Дополнительные сведения см. в разделе Получение расширенных обновлений безопасности для соответствующих устройств Windows.

  • Безопасность кода: реализация меры безопасности в рабочих процессах DevOps для предотвращения уязвимостей безопасности в рабочих нагрузках решения VMware для Azure. Используйте современные рабочие процессы проверки подлинности и авторизации, такие как Open Authorization (OAuth) и OpenID Connect.

    Используйте GitHub Enterprise Server в Решении VMware для Azure для создания версий репозитория, обеспечивающего целостность базы кода. Разверните сборку и запустите агенты в Решении VMware для Azure или в безопасной среде Azure.

Система управления

При планировании управления средой и гостевой виртуальной машиной рассмотрите возможность реализации следующих рекомендаций.

Управление средой

  • Пространство для хранения vSAN: нехватка места для хранения vSAN может сказаться на гарантиях соглашения об уровне обслуживания. Просматривайте и анализируйте обязанности клиента и партнера в рамках соглашения об уровне обслуживания для Решения VMware для Azure. Назначьте соответствующие приоритеты и владельцев для оповещений по метрике Percentage Datastore Disk Used. Дополнительные сведения и рекомендации см. в разделе Настройка оповещений и работа с метриками в Решении VMware для Azure.

  • Политика хранилища шаблонов виртуальных машин: политика хранилища по умолчанию (толстая подготовка) может привести к резервированию слишком большого объема хранилища vSAN. Создайте шаблоны виртуальных машин, использующие политику хранилища с тонкой подготовкой, когда резервирование пространства не требуется. Виртуальные машины, на которых не резервируется полный объем хранилища, обеспечивают более эффективные ресурсы хранения.

  • Управление квотами узла: недостаточные квоты узла могут привести к задержкам в 5–7 дней при увеличении емкости узла для потребностей в росте или аварийном восстановлении (DR). Учитывайте требования к росту и DR при проектировании решения и запросе квоты хоста и периодически проверяйте рост и максимальные значения среды для обеспечения надлежащего времени для запросов на расширение. Например, если кластеру Решений Azure VMware с тремя узлами требуется еще три узла для аварийного восстановления, запросите квоту на шесть узлов. Запросы квот узла не требуют дополнительных затрат.

  • Управление отказоустойчивостью (FTT): установите параметры FTT в соответствии с размером кластера, чтобы выполнять соглашение об уровне обслуживания для решения VMware для Azure. Настройте политику хранилища vSAN на соответствующий параметр FTT при изменении размера кластера, чтобы обеспечить соответствие требованиям соглашения об уровне обслуживания.

  • Доступ ESXi: доступ к узлам Azure VMware ESXi ограничен. Стороннее программное обеспечение, требующее доступа к узлу ESXi, может не работать. Найдите любое поддерживаемое Решением VMware для Azure стороннее программное обеспечение в исходной среде, которому требуется доступ к узлу ESXi. Ознакомьтесь с процессом запроса поддержки в Решении VMware для Azure на портале Azure и используйте его для ситуаций, требующих доступа к узлу ESXi.

  • Плотность и эффективность узла ESXi: чтобы обеспечить высокую рентабельность инвестиций, разберитесь с использованием узла ESXi. Определите работоспособную плотность гостевых виртуальных машин, чтобы максимально повысить инвестиции в Решения VMware для Azure и отслеживать общее использование узла с этим пороговым значением. Измените размер среды Решения VMware для Azure, когда это необходимо по данным мониторинга, и оставьте достаточно времени для добавления узла.

  • Мониторинг сети: отслеживайте внутренний сетевой трафик для вредоносного или неизвестного трафика или скомпрометированных сетей. Реализуйте vRealize Network Insights (vRNI) и операции vRealize (vROps), чтобы получить подробные сведения о Решение Azure VMware сетевых операциях.

  • Оповещения о безопасности, плановом обслуживании и работоспособности служб. Проанализируйте и просматривайте работоспособность службы на предмет планирования и реагирования на сбои и проблемы. Настройте оповещения о работоспособности службы для Решения устранения проблем решения VMware для Azure, его планового обслуживания, рекомендаций по работоспособности и рекомендаций по безопасности. Планируйте действия рабочей нагрузки для Решения VMware для Azure за пределами предлагаемых корпорацией Microsoft периодов обслуживания.

  • Управление затратами: отслеживайте затраты на надежную финансовую отчетность и распределение бюджета. Используйте решение по управлению затратами для отслеживания затрат, распределения затрат, создания бюджета, оповещений о затратах и правильного финансового руководства. Для выставленных счетов Azure используйте средства управления затратами Майкрософт для создания бюджетов, создания оповещений, выделения затрат и создания отчетов для финансовых заинтересованных лиц.

  • Интеграция со службами Azure: не используйте общедоступную конечную точку «платформы как услуга» (PaaS) Azure, так как это может привести к тому, что трафик выйдет за желаемые границы сети. Чтобы трафик оставался в заданных границах виртуальной сети, для доступа к службам Azure, таким как База данных SQL Azure и Хранилище BLOB-объектов Azure, используйте частную конечную точку.

Управление приложениями рабочей нагрузки и виртуальными машинами

Осведомленность о состоянии безопасности для виртуальных машин рабочей нагрузки Решение Azure VMware помогает понять готовность к кибербезопасности и ответ и обеспечить полное покрытие безопасности для гостевых виртуальных машин и приложений.

  • Включите Microsoft Defender для облака для запуска служб Azure и Решение Azure VMware рабочих нагрузок виртуальных машин приложений.

  • Используйте серверы с поддержкой Azure Arc для управления гостевыми виртуальными машинами VMware для Azure с помощью средств, которые реплицируют средства собственного управления ресурсами Azure, включая следующие.

    • Политика Azure для управления конфигурациями и параметрами компьютера, а также отчетов и аудита
    • Настройка состояния службы автоматизации Azure и поддерживаемые расширения для упрощения развертываний
    • Управление обновлениями для управления обновлениями для ландшафта виртуальной машины приложения Решение Azure VMware
    • Теги для управления и упорядочения инвентаризации виртуальных машин приложений Решение Azure VMware

    Дополнительные сведения см. в статье Обзор серверов с поддержкой Azure Arc.

  • Управление доменами виртуальной машины рабочей нагрузки. Чтобы избежать ошибок, используйте расширения, такие как JsonADDomainExtension или эквивалентные параметры автоматизации, чтобы включить автоматическое присоединение к домену Active Directory Решение Azure VMware гостевых виртуальных машин.

  • Ведение журнала виртуальной машины рабочей нагрузки и мониторинг. Включите диагностика метрики и ведение журнала на виртуальных машинах рабочей нагрузки, чтобы упростить отладку проблем с ОС и приложениями. Внедрите возможности сбора журналов и запросов, которые обеспечивают быстрое время ответа для отладки и устранения неполадок. Включите аналитику виртуальных машин практически в реальном времени на виртуальных машинах рабочей нагрузки для обнаружения узких мест производительности и операционных проблем. Настройте оповещения журнала для отслеживания условий границ для виртуальных машин рабочей нагрузки.

    Разверните агент Azure Monitor на виртуальных машинах рабочей нагрузки VMware vSphere перед миграцией или при развертывании новых виртуальных машин рабочей нагрузки в среде Решение Azure VMware. Настройте правила сбора данных для отправки метрик и журналов в рабочую область Azure Log Analytics и связывание рабочей области Azure Log Analytics с служба автоматизации Azure. Проверьте состояние всех агентов мониторинга виртуальных машин рабочей нагрузки, развернутых перед миграцией с помощью Azure Monitor.

  • Управление обновлением виртуальной машины рабочей нагрузки: отложенные или неполные обновления или исправления являются главными векторами атак, которые могут привести к раскрытию или компрометации Решение Azure VMware виртуальных машин и приложений рабочей нагрузки. Обеспечьте своевременную установку обновлений на гостевых виртуальных машинах.

  • Управление резервным копированием виртуальной машины рабочей нагрузки: планирование регулярных резервных копий, чтобы предотвратить пропущенные резервные копии или полагаться на старые резервные копии, которые могут привести к потере данных. Используйте решение для резервного копирования, чтобы планировать резервное копирование и отслеживать результаты его выполнения. Контролируйте и получайте оповещения о событиях резервного копирования, чтобы обеспечить успешное выполнение запланированного резервного копирования.

  • Управление восстановлением рабочих нагрузок виртуальной машины: незадокументированные целевые точки восстановления (RPO) и целевые показатели времени восстановления (RTO) могут привести к плохому опыту клиентов и несметным операционным целям во время событий непрерывности бизнес-процессов и аварийного восстановления (BCDR). Внедрение оркестрации аварийного восстановления для предотвращения непрерывности бизнес-процессов.

    Используйте решение аварийного восстановления для Решения VMware для Azure, которое обеспечивает согласованное аварийное восстановление, а также обнаруживает и сообщает о любых сбоях или проблемах, связанных с успешной непрерывной репликацией на сайт аварийного восстановления. Задокументируйте требований к RPO и RTO для приложений, работающих в Azure и Azure VMware. Выберите модель решения по аварийному восстановлению и непрерывности бизнес-процессов, которая соответствует проверяемым требованиям к RPO и RTO для оркестрации.

Соответствие нормативным требованиям

Рассмотрите и реализуйте следующие рекомендации при планировании соответствия среды и рабочей нагрузки Решение Azure VMware.

  • Мониторинг Microsoft Defender для облака: используйте представление соответствия нормативным требованиям в Microsoft Defender для облака, чтобы отслеживать соответствие нормативным требованиям по безопасности и правовым показателям. Настройте автоматизацию рабочих процессов Microsoft Defender для облака для отслеживания любого отклонения от ожидаемого уровня соответствия. Подробнее см. в статье Обзор Microsoft Defender для облака.

  • Соответствие виртуальной машины рабочей нагрузки: отслеживайте соответствие конфигурации аварийного восстановления для виртуальных машин рабочей нагрузки Решение Azure VMware, чтобы обеспечить доступность критически важных приложений во время аварии. Используйте Azure Site Recovery или сертифицированное BCDR Решение VMware для Azure, которое обеспечивает подготовку репликации в масштабе, мониторинг несоответствия состояния и автоматическое исправление.

  • Соответствие резервной копии виртуальной машины рабочей нагрузки. Отслеживание и мониторинг соответствия требованиям к резервной копии виртуальной машины рабочей нагрузки Решение Azure VMware, чтобы обеспечить резервное копирование виртуальных машин. Используйте Решение Azure VMware сертифицированное партнерское решение, которое обеспечивает масштабируемую перспективу, анализ детализации и практический интерфейс для отслеживания и мониторинга резервного копирования виртуальных машин рабочей нагрузки.

  • Соответствие требованиям, характерным для страны или региона или отрасли: чтобы избежать дорогостоящих юридических действий и штрафов, обеспечить соответствие Решение Azure VMware рабочих нагрузок с нормативными положениями, характерными для страны или региона и отрасли. Разберитесь с моделью общей ответственности в облаке для соответствия нормативным требованиям в отрасли или регионе. Просматривайте или скачивайте Решения Azure VMware и аудиторские отчеты Azure, которые поддерживают всю историю соответствия, на портале службы доверия.

    Реализуйте отчеты аудита брандмауэра для конечных точек HTTP/S и не-HTTP/S, чтобы соответствовать нормативным требованиям.

  • Соответствие корпоративной политике. Мониторинг соответствия виртуальных машин рабочей нагрузки Решение Azure VMware требованиям к корпоративным политикам, чтобы предотвратить нарушение правил и правил компании. Используйте серверы с поддержкой Azure Arc и Политику Azure или эквивалентное стороннее решение. Регулярно оценивать виртуальные машины и приложения рабочей нагрузки Решение Azure VMware и управлять ими для соответствия нормативным требованиям с применимыми внутренними и внешними правилами.

  • Требования к хранению и местонахождению данных: решение VMware для Azure не поддерживает хранение или извлечение данных, хранящихся в кластерах. Удаление кластера приводит к завершению всех работающих рабочих нагрузок и компонентов и уничтожает все данные кластера и параметры конфигурации, включая общедоступные IP-адреса. Эти данные не могут быть восстановлены.

  • Обработка данных: прочтите и изучите юридические условия при регистрации. Обратите внимание на соглашение об обработке данных VMware для Microsoft Azure клиентовРешения VMware, перенесенных на уровень поддержки L3. Если для проблемы с поддержкой требуется поддержка VMware, корпорация Microsoft предоставляет службу профессиональных данных и связанные с ней персональные данные с помощью VMware. С этого момента корпорация Microsoft и VMware работают как два независимых обработчика данных.

Следующие шаги

Эта статья основана на принципах и рекомендациях по архитектурному проектированию корпоративной целевой зоны Cloud Adoption Framework. Дополнительные сведения см. в разделе:

Эта статья входит в серию, которая посвящена применению основных принципов и рекомендаций корпоративных целевых зон к развертываниям Решений VMware для Azure. В число других статей серии входят:

Прочитайте следующую статью в этом цикле: