你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure VMware 解决方案的安全、治理和合规性

本文介绍如何在 Azure VMware 解决方案的整个生命周期内安全地实现和整体地治理它。 本文探讨了特定的设计元素,并为 Azure VMware 解决方案安全、治理和合规性提供有针对性的建议。

安全性

在确定哪些系统、用户或设备可以在 Azure VMware 解决方案中执行功能以及如何保护整个平台时,请考虑以下因素。

身份和安全性

  • 永久访问限制:Azure VMware 解决方案使用托管 Azure VMware 解决方案私有云的 Azure 资源组中的参与者角色。 限制永久访问,以防止有意或无意的参与者权限滥用。 使用特权帐户管理解决方案审,对高特权帐户进行审核并限制使用时间。

    在 Azure Privileged Identity Management 中创建Microsoft Entra ID 特权访问组(PIM),以管理Microsoft Entra 用户和服务主体帐户。 使用此组可创建和管理具有时间限制和基于理由的访问的 Azure VMware 解决方案群集。 有关详细信息,请参阅为特权访问组分配符合条件的所有者和成员

    使用 Microsoft Entra PIM 审核历史记录报告Azure VMware 解决方案管理活动、操作和分配。 你可以在 Azure 存储中存档报表,以满足长期审核保留的需求。 有关详细信息,请参阅在 Privileged Identity Management (PIM)中查看特权访问组分配的审核历史记录

  • 集中式标识管理:Azure VMware 解决方案为云管理员和网络管理员提供了配置 VMware 私有云环境的凭据。 这些管理帐户对于所有对 Azure VMware 解决方案具有基于角色的访问控制 (RBAC) 访问权限的参与者均可见。

    若要防止内置 cloudadmin 的滥用以及网络管理员用户对 VMware 私有云控制平面的访问,请使用 VMware 私有云控制平面 RBAC 功能正确管理角色和帐户访问权限。 使用最少特权原则创建多个目标标识对象,例如用户和组。 限制对 Azure VMware 解决方案提供的管理员帐户的访问,并在“break-glass”配置中配置帐户。 仅在所有其他管理帐户不可用时使用内置帐户。

    使用提供的cloudadmin帐户将Active Directory 域服务(AD DS)或Microsoft Entra 域服务与 VMware vCenter Server 和 NSX-T 数据中心控制应用程序和域服务管理标识集成。 使用域服务来源的用户和组进行 Azure VMware 解决方案的管理和操作,不允许帐户共享。 创建 vCenter Server 自定义角色并将其与 AD DS 组相关联,以便对 VMware 私有云控制面进行精细的特权访问控制。

    你可以使用 Azure VMware 解决方案选项来轮换和重置 vCenter Server 和 NSX-T 数据中心管理帐户密码。 配置这些帐户的定期轮换,并在使用 break-glass 配置时随时轮换帐户。 有关详细信息,请参阅为 Azure VMware 解决方案轮换 cloudadmin 凭据

  • 来宾虚拟机 (VM) 标识管理:为 Azure VMware 解决方案来宾提供集中式身份验证和授权,以提供有效的应用程序管理并防止对业务数据和流程的未经授权访问。 将 Azure VMware 解决方案来宾和应用程序作为其生命周期的一部分进行管理。 配置来宾 VM 以使用集中式标识管理解决方案,对管理和应用程序的使用进行身份验证和授权。

    将集中式 AD DS 或轻型目录访问协议 (LDAP) 服务用于 Azure VMware 解决方案来宾 VM 和应用程序标识管理。 请确保域服务体系结构帐户适用于任何中断场景,以确保在中断期间继续提供功能。 将 AD DS 实现与 Microsoft Entra ID 连接,以便进行高级管理和无缝来宾身份验证和授权体验。

环境和网络安全性

  • 本机网络安全功能:实现网络安全控制,如流量筛选、Open Web Application Security Project (OWASP) 规则合规性、统一防火墙管理和分布式拒绝服务 (DDoS) 保护

    • 流量筛选控制段之间的流量。 使用 NSX-T 数据中心 或网络虚拟设备 (NVA) 功能来限制来宾网络段之间的访问,从而实现来宾网络流量筛选设备。

    • OWASP 核心规则集符合性可保护 Azure VMware 解决方案来宾 web 应用程序工作负载免受一般的 web 攻击。 使用 Azure 应用程序网关 Web 应用程序防火墙 (WAF) 的 OWASP 功能来保护托管在 Azure VMware 解决方案来宾上的 Web 应用程序。 使用最新的策略启用防护模式,并确保将 WAF 日志集成到日志记录策略中。 有关详细信息,请参阅 Azure Web 应用程序防火墙简介

    • 统一防火墙规则管理可防止重复或缺少的防火墙规则增加未经授权访问的风险。 防火墙体系结构为 Azure VMware 解决方案提供了更大的网络管理和环境安全状况。 使用有状态托管防火墙体系结构,该体系结构支持流量流、检查、集中式规则管理和事件收集。

    • DDoS 防护保护 Azure VMware 解决方案的工作负载免受导致经济损失或用户体验不佳的攻击。 在 Azure 虚拟网络上应用 DDoS 防护,该虚拟网络为 Azure VMware 解决方案连接托管 ExpressRoute 终止网关。 请考虑使用 Azure 策略自动强制执行 DDoS 防护。

  • 使用客户托管密钥进行 VSAN 加密(CMK)允许使用 Azure 密钥库中存储的客户提供的加密密钥加密 VSAN 数据存储Azure VMware 解决方案。 可以使用此功能来满足合规性要求,例如遵守密钥轮换策略或管理密钥生命周期事件。 有关详细的实施指南和限制,请参阅在 Azure VMware 解决方案 中配置客户管理的密钥加密

  • 受控 vCenter Server 访问权限:对 Azure VMware 解决方案 vCenter Server 的不受控制的访问可能会增加攻击面。 使用专用的特权访问工作站 (PAW) 来安全地访问 Azure VMware 解决方案 vCenter Server 和 NSX-T Manager。 创建用户组,并向此用户组中添加单独的用户帐户。

  • 来宾工作负载的入站 Internet 请求日志记录:使用 Azure 防火墙或经过批准,为来宾 VM 的传入请求维护审核日志。 将这些日志导入到安全事件和事件管理 (SIEM) 解决方案,以进行适当的监视和警报。 在集成到现有 SIEM 解决方案之前,使用 Microsoft Sentinel 处理 Azure 事件信息和日志记录。 有关详细信息,请参阅将 Microsoft Defender For Cloud 与 Azure VMware 解决方案集成

  • 会话监视以实现出站 Internet 连接安全性:使用 Azure VMware 解决方案的出站 Internet 连接性规则控制或会话审核来识别意外或可疑的出站 Internet 活动。 确定放置出站网络检查的时间和位置,以确保最大限度的安全。 有关详细信息,请参阅适用于 Azure VMware 解决方案的企业级网络拓扑和连接

    使用专用的防火墙、NVA 和虚拟广域网络(虚拟 WAN)服务进行出站 Internet 连接,而不是依赖于 Azure VMware 解决方案的默认 Internet 连接。 有关详细信息和设计建议,请参阅使用 Azure 虚拟网络中的网络虚拟设备检查 Azure VMware 解决方案流量

    使用 Azure 防火墙筛选出口流量时,请使用 Virtual Network 等服务标记和完全限定的域名 (FQDN) 标记进行识别。 为其他 NVA 使用类似的功能。

  • 集中管理的安全备份:使用 RBAC 和延迟删除功能可以帮助避免有意或意外删除恢复环境所需的备份数据。 使用 Azure Key Vault 管理加密密钥,并限制对备份数据存储位置的访问,以最大程度地降低删除的风险。

    使用 Azure Backup 或其他经过 Azure VMware 解决方案验证的备份技术,提供传输和静态加密。 使用 Azure 恢复服务保管库时,请使用资源锁和软删除功能防止意外或有意的备份删除。 有关详细信息,请参阅Azure VMware 解决方案的企业级业务连续性和灾难恢复

来宾应用程序和 VM 安全性

  • 高级威胁检测:若要防止各种安全风险和数据泄露,请使用终结点安全保护、安全警报配置、更改控制过程和漏洞评估。 你可以使用 Microsoft Defender for Cloud 进行威胁管理、终结点保护、安全警报、OS 修补,并集中查看法规合规性的强制实施。 有关详细信息,请参阅将 Microsoft Defender For Cloud 与 Azure VMware 解决方案集成

    使用 Azure Arc 为服务器载入来宾 VM。 载入后,使用 Azure Log Analytics、Azure Monitor 和 Microsoft Defender for Cloud 收集日志和指标,并创建仪表板和警报。 使用 Microsoft Defender 安全中心来防止与 VM 来宾相关的威胁并发出警报。 有关详细信息,请参阅在 Azure VMware 解决方案中集成和部署 Azure 本机服务

    在开始迁移之前或在部署新的来宾 VM 之前,在 VMware vSphere VM 上部署 Azure Monitor 代理。 配置数据收集规则以将指标和日志发送到 Azure Log Analytics 工作区。 迁移后,请验证 Azure VMware 解决方案 VM 是否在 Azure Monitor 和 Microsoft Defender for Cloud 中报告警报。

    或者,使用 Azure VMware 解决方案认证合作伙伴的解决方案来评估 VM 安全状况,并提供符合 Internet 安全中心 (CIS) 要求的法规合规性。

  • 安全分析:使用来自 Azure VMware 解决方案 VM 和其他源的内聚性安全事件收集、关联和分析来检测网络攻击。 使用 Microsoft Defender for Cloud 作为 Microsoft Sentinel 的数据源。 配置 Microsoft Defender for Storage、Azure 资源管理器、域名系统 (DNS) 和其他与 Azure VMware 解决方案部署相关的 Azure 服务。 请考虑使用经过认证的合作伙伴的 Azure VMware 解决方案数据连接器。

  • 来宾 VM 加密:Azure VMware 解决方案为底层 vSAN 存储平台提供静态数据加密。 某些具有文件系统访问权限的工作负载和环境可能需要更多的加密来保护数据。 在这些情况下,请考虑启用来宾 VM 操作系统 (OS) 和数据的加密。 使用本机来宾操作系统加密工具对来宾 VM 进行加密。 使用 Azure Key Vault 来存储和保护加密密钥。

  • 数据库加密和活动监视:在 Azure VMware 解决方案中加密 SQL 和其他数据库,以防止数据泄露时轻松访问数据。 对于数据库工作负载,请使用静态加密方法,例如透明数据加密 (TDE) 或等效的本机数据库功能。 确保工作负载使用加密磁盘,并将敏感机密存储在专用于资源组的密钥保管库中。

    在自带密钥 (BYOK) 场景中使用 Azure Key Vault 作为客户托管的密钥,如 Azure SQL 数据库透明数据加密 (TDE) 的 BYOK。 尽可能地将密钥管理和数据管理责任分开。 有关 SQL Server 2019 如何使用 Key Vault 的示例,请参阅将 Azure Key Vault 与具有安全 Enclave 的 Always Encrypted 一起使用

    监视异常的数据库活动,降低内部攻击的风险。 使用本机数据库监视,如活动监视器或 Azure VMware 解决方案认证的合作伙伴解决方案。 请考虑使用 Azure 数据库服务来增强审核控制。

  • 扩展的安全更新 (ESU) 密钥:提供并配置 ESU 密钥,以便在 Azure VMware 解决方案 VM 上推送和安装安全更新。 使用批量激活管理工具配置 Azure VMware 解决方案群集的 ESU 密钥。 有关详细信息,请参阅为符合条件的 Windows 设备获取扩展安全更新

  • 代码安全性:在 DevOps 工作流中实施安全措施,以防止 Azure VMware 解决方案工作负载存在安全漏洞。 使用新式身份验证和授权工作流,如 Open Authorization (OAuth) 和 OpenID Connect。

    为版本控制存储库使用 Azure VMware 解决方案上的 GitHub Enterprise 服务器,确保代码库的完整性。 在 Azure VMware 解决方案或安全的 Azure 环境中部署生成和运行代理。

治理

在规划环境和来宾 VM 治理时,请考虑执行以下建议。

环境治理

  • vSAN 存储空间:VSAN 存储空间不足可能会影响 SLA 保障。 查看并了解 Azure VMware 解决方案的 SLA 中的客户和合作伙伴责任。 为已使用的数据存储磁盘百分比指标上的警报分配适当的优先级和所有者。 有关详细信息和指南,请参阅在 Azure VMware 解决方案中配置警报并使用指标

  • VM 模板存储策略:默认的复杂预配存储策略可能会导致预留过多的 vSAN 存储。 创建使用精简预配存储策略的 VM 模板,而不需要预留空间。 虚拟机无需预先预留足够的存储空间,可以提供更高效的存储资源。

  • 主机配额管理:主机配额不足会导致在需要获得更多的主机容量以满足增长或灾难恢复 (DR) 需求时产生 5-7 天的延迟。 请求主机配额时,将增长和灾难恢复要求考虑到解决方案设计中,并定期查看环境增长和最大值,以确保扩展请求的提前期合适。 例如,如果三节点的 Azure VMware 解决方案群集需要另外三个节点进行灾难恢复,则请求六个节点的主机配额。 主机配额请求不会产生额外成本。

  • 容错失败 (FTT) 管理:建立与群集大小相称的 FTT 设置,以维护 Azure VMware 解决方案的 SLA。 更改群集大小时,将 vSAN 存储策略调整为适当的 FTT 设置,以确保 SLA 合规性。

  • ESXi 访问:对 Azure VMware 解决方案 ESXi 主机的访问受到限制。 需要 ESXi 主机访问权限的第三方软件可能无法正常使用。 在需要访问 ESXi 主机的源环境中识别任何的 Azure VMware 解决方案支持的第三方软件。 熟悉并使用 Azure 门户中的 Azure VMware 解决方案支持请求过程,用于需要 ESXi 主机访问权限的场景。

  • ESXi 主机密度和效率:要获得良好的投资回报率 (ROI),请了解 ESXi 主机的利用率。 定义来宾 VM 的正常密度,以最大限度地利用 Azure VMware 解决方案投资,并根据该阈值监视总体节点利用率。 在监视显示时调整 Azure VMware 解决方案环境的大小,并为添加节点留出足够的提前期。

  • 网络监视:监视内部网络流量,查看是否有恶意或未知的流量或网络泄露。 实现 vRealize Network Insights (vRNI) 和 vRealize Operations (vROps),以详细了解 Azure VMware 解决方案网络操作。

  • 安全、计划内维护和服务运行状况警报:了解并查看服务运行状况,以相应地计划和响应停机和问题。 为 Azure VMware 解决方案服务问题、计划内维护、运行状况通报和安全建议配置服务运行状况警报。 在 Microsoft 建议的维护时段之外,安排和计划 Azure VMware 解决方案工作负载活动。

  • 成本监管:监视良好财务责任和预算分配的成本。 使用成本管理解决方案实现成本跟踪、成本分摊、预算创建、成本警报和良好的财务管理。 对于 Azure 计费费用,请使用 Microsoft成本管理工具 来创建预算、生成警报、分配成本,并为财务利益干系人生成报表。

  • Azure 服务集成:避免使用 Azure 平台即服务 (PaaS) 的公共终结点,这可能导致流量离开所需的网络边界。 若要确保流量保持在已定义的虚拟网络边界内,请使用专用终结点来访问 azure 服务,例如 Azure SQL 数据库和 Azure Blob 存储。

工作负载应用程序和 VM 治理

Azure VMware 解决方案工作负载 VM 的安全状况感知有助于了解网络安全准备情况和响应情况,并为来宾 VM 和应用程序提供完整的安全覆盖范围。

  • 启用 Microsoft Defender for Cloud 以运行 Azure 服务和 Azure VMware 解决方案应用程序 VM 工作负载

  • 使用 已启用 Azure Arc 的服务器通过可复制 Azure 本机资源工具的工具来管理 Azure VMware 解决方案来宾 VM,其中包括

    • 用于管理、报告和审核计算机配置和设置的 Azure Policy
    • 用于简化部署的 Azure 自动化状态配置和支持的扩展
    • 用于管理 Azure VMware 解决方案应用程序 VM 场景更新的更新管理
    • 用于管理和组织 Azure VMware 解决方案应用程序 VM 清单的标记

    有关详细信息,请参阅已启用 Azure Arc 的服务器概述

  • 工作负载 VM 域治理:若要避免容易出错的手动过程,请使用扩展,如 JsonADDomainExtension 或等效的自动化选项,使 Azure VMware 解决方案来宾 VM 自动加入 Active Directory 域

  • 工作负载 VM 日志记录和监视:对工作负载 VM 启用诊断指标和日志记录,以便更轻松地调试 OS 和应用程序问题。 实现日志收集和查询功能,从而为调试和故障排除提供快速响应时间。 在工作负载 VM 上启用近乎实时的 VM 见解,以提示检测性能瓶颈和操作问题。 配置日志警报以捕获工作负载 VM 的边界条件。

    在迁移之前或在 Azure VMware 解决方案 环境中部署新工作负荷 VM 时,在 VMware vSphere 工作负荷 VM 上部署 Azure Monitor 代理。 配置数据收集规则以将指标和日志发送到 Azure Log Analytics 工作区,并将 Azure Log Analytics 工作区与Azure 自动化链接。 使用 Azure Monitor 验证在迁移之前部署的任何工作负荷 VM 监视代理的状态。

  • 工作负载 VM 更新治理:延迟或不完整的更新或修补是最常见的攻击途径,它们可能会导致暴露或泄露 Azure VMware 解决方案工作负载 VM 和应用程序。 确保在来宾 VM 上及时更新安装。

  • 工作负载 VM 备份治理:计划定期备份,以防止备份丢失或依赖可能导致数据丢失的旧备份。 使用可以执行计划备份和监视备份成功的备份解决方案。 监视备份事件并发出警报,以确保计划的备份成功运行。

  • 工作负载 VM DR 治理:未记录的恢复点目标 (RPO) 和恢复时间目标 (RTO) 要求会导致不良的客户体验,并在业务连续性和灾难恢复 (BCDR) 事件期间导致无法满足运营目标。 实现 DR 业务流程,以防止业务连续性发生延迟。

    使用适用于 Azure VMware 解决方案的 DR 解决方案,提供 DR 业务流程,并检测和报告有关成功连续复制到 DR 站点的任何故障或问题。 记录在 Azure 和 Azure VMware 解决方案中运行的应用程序的 RPO 和 RTO 要求。 选择灾难恢复和业务连续性解决方案设计,通过业务流程满足可验证的 RPO 和 RTO 要求。

合规性

在规划 Azure VMware 解决方案环境和工作负载 VM 合规性时,请考虑并实现以下建议。

  • Microsoft Defender For Cloud 监视:使用 Defender for Cloud 中的法规合规性视图来监视安全和法规基准的合规性。 配置 Defender for Cloud 工作流自动化跟踪任何偏离预期合规性的情况。 有关详细信息,请参阅 Microsoft Defender for Cloud 概述

  • 工作负载 VM DR 合规性:跟踪 Azure VMware 解决方案工作负载 VM 的 DR 配置合规性,以确保在发生灾难时其任务关键型应用程序保持可用。 使用 Azure Site Recovery 或经过 Azure VMware 解决方案认证的 BCDR 解决方案,该解决方案提供大规模复制预配、违规状态监视和自动修正。

  • 工作负载 VM 备份合规性:跟踪和监视 Azure VMware 解决方案工作负载 VM 备份合规性,以确保备份 VM。 使用 Azure VMware 解决方案认证的合作伙伴解决方案,它针对工作负载 VM 备份的跟踪和监视,提供大规模的透视、深入分析,以及可操作界面。

  • 特定于国家/地区或行业的合规性:为了避免成本高昂的法律行为和罚款,请确保符合特定于国家/地区和行业的法规Azure VMware 解决方案工作负荷。 了解基于行业或区域的法规合规性的云共享责任模型。 使用服务信任门户查看或下载支持整个合规性案例的 Azure VMware 解决方案和 Azure 审核报告。

    实现对 HTTP/S 和非 HTTP/S 终结点的防火墙审核报告,以符合法规要求。

  • 公司策略合规性:监视 Azure VMware 解决方案工作负载 VM 与公司策略的符合性,以防违反公司规章制度。 使用启用了 Azure Arc 的服务器和 Azure Policy 或等效的第三方解决方案。 定期评估和管理 Azure VMware 解决方案工作负载 VM 和应用程序,以确保其符合适用的内部和外部法规。

  • 数据保留和驻留要求:Azure VMware 解决方案不支持保留或提取存储在群集中的数据。 删除群集会终止所有正在运行的工作负载和组件,并销毁所有群集数据和配置设置,包括公共 IP 地址。 此数据无法恢复。

  • 数据处理:注册时,请阅读并了解法律条款。 请注意 VMware数据处理协议,为 Microsoft Azure VMware 解决方案客户转作 L3 支持。 如果支持问题需要 VMware 支持,Microsoft 会与 VMware 共享专业的服务数据和相关的个人数据。 从此时起,Microsoft 和 VMware 充当两个独立的数据处理器。

后续步骤

本文基于云采用框架企业级登陆区域体系结构设计原则和指导原则。 有关详细信息,请参阅:

本文是将企业级登陆区域原则和建议应用于 Azure VMware 解决方案部署的系列文章的一部分。 本系列中的其他文章包括:

阅读本系列的下一篇文章: