你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure VMware 解决方案工作负荷的安全注意事项
本文讨论Azure VMware 解决方案工作负荷的安全设计区域。 讨论涵盖了帮助保护Azure VMware 解决方案工作负荷的各种措施。 这些措施有助于保护基础结构、数据和应用程序。 这种安全方法是整体的,符合组织的核心优先级。
保护Azure VMware 解决方案需要共同的责任模型,其中 Microsoft Azure 和 VMware 负责某些安全方面。 若要实施适当的安全措施,请确保清楚地了解 IT 团队、VMware 和 Microsoft 之间的共同责任模型和协作。
管理合规性和监管问题
影响:安全性、卓越运营
为了避免错误地删除私有云,请使用 资源锁 来保护资源免受不需要的删除或更改。 可以在订阅、资源组或资源级别设置它们,并阻止删除、修改或两者兼有。
检测不符合的服务器也很重要。 为此,可以使用 Azure Arc。 Azure Arc 将 Azure 管理功能和服务扩展到本地或多云环境。 Azure Arc 提供一个单窗格视图,用于通过提供集中式服务器管理和治理来应用更新和修补程序。 结果是从 Azure、本地系统和Azure VMware 解决方案管理组件的一致体验。
建议
- 将资源锁置于托管私有云的资源组上,以防止意外删除它。
- 将 Azure VMware 解决方案来宾虚拟机 (VM) 配置为已启用 Azure Arc 的服务器。 有关可用于连接计算机的方法,请参阅 Azure 连接的计算机代理部署选项。
- 部署经过认证的第三方解决方案或用于Azure VMware 解决方案的 Azure Arc(预览版)。
- 使用已启用 Azure Arc 的 Azure Policy 服务器审核和强制对Azure VMware 解决方案来宾 VM 实施安全控制。
保护来宾操作系统
影响:安全性
如果不修补并定期更新操作系统,则会使其容易受到漏洞的影响,并使整个平台面临风险。 定期应用修补程序时,使系统保持最新状态。 使用终结点保护解决方案时,有助于防止常见的攻击途径针对操作系统。 定期执行漏洞扫描和评估也很重要。 这些工具可帮助你识别和修正安全漏洞和漏洞。
Microsoft Defender for Cloud 提供独特的工具,可在Azure VMware 解决方案和本地 VM 之间提供高级威胁防护,包括:
- 文件完整性监视。
- 无文件攻击检测。
- 操作系统修补程序评估。
- 安全配置错误评估。
- 终结点保护评估。
建议
- 通过 Azure Arc 为服务器在Azure VMware 解决方案来宾 VM 上安装 Azure 安全代理,以监视其安全配置和漏洞。
- 配置 Azure Arc 计算机以自动创建与 Defender for Cloud 的默认数据收集规则的关联。
- 在用于部署和运行Azure VMware 解决方案私有云的订阅上,使用包含服务器保护的 Defender for Cloud 计划。
- 如果来宾 VM 在Azure VMware 解决方案私有云中具有扩展的安全优势,请定期部署安全更新。 使用批量激活管理工具来部署这些更新。
加密数据
影响:安全性、卓越运营
数据加密是保护Azure VMware 解决方案工作负荷免受未经授权的访问和保留敏感数据完整性的重要方面。 加密包括系统上的静态数据以及传输中的数据。
建议
- 使用客户管理的密钥加密 VMware vSAN 数据存储,从而加密静态数据。
- 使用本机加密工具(如 BitLocker)加密来宾 VM。
- 对Azure VMware 解决方案私有云来宾 VM 上运行的数据库使用本机数据库加密选项。 例如,可以对 SQL Server 使用透明数据加密 (TDE)。
- 监视数据库活动中是否有可疑活动。 可以使用本机数据库监视工具,例如 SQL Server 活动监视器。
实现网络安全
影响:卓越运营
网络安全的目标是防止未经授权的访问Azure VMware 解决方案组件。 实现此目标的一种方法是通过网络分段实现边界。 这种做法有助于隔离应用程序。 作为分段的一部分,虚拟 LAN 在数据链路层运行。 该虚拟 LAN 通过将物理网络分区为逻辑网络来分隔流量,从而提供 VM 的物理隔离。
然后创建段以提供高级安全功能和路由。 例如,应用程序、Web 和数据库层可以在三层体系结构中具有单独的段。 应用程序可以使用安全规则来限制每个段中的 VM 之间的网络通信,从而添加微分段级别。
第 1 层路由器位于段前。 这些路由器在软件定义的数据中心(SDDC)中提供路由功能。 可以部署多个第 1 层路由器来隔离不同的段集,或实现特定的路由。 例如,假设你想要限制流入和流出生产、开发和测试工作负荷的东西方流量。 可以使用分布式级别 1 层根据特定规则和策略对流量进行分段和筛选。
建议
- 使用网段以逻辑方式分隔和监视组件。
- 使用 VMware NSX-T Data Center 原生的微分段功能限制应用程序组件之间的网络通信。
- 使用集中式路由设备保护和优化分段之间的路由。
- 当网络分段由组织安全性或网络策略、合规性要求、业务单位、部门或环境驱动时,请使用交错的第 1 层路由器。
使用入侵检测和防护系统(IDPS)
影响:安全性
IDPS 可以帮助你检测和防止Azure VMware 解决方案环境中的基于网络的攻击和恶意活动。
建议
- 使用 VMware NSX-T 数据中心分布式防火墙来帮助检测Azure VMware 解决方案组件之间的恶意模式和恶意软件。
- 使用 Azure 服务(例如 Azure 防火墙)或者在 Azure 或 Azure VMware 解决方案中运行的已认证第三方 NVA。
使用基于角色的访问控制(RBAC)和多重身份验证
影响:安全性、卓越运营
标识安全性有助于控制对Azure VMware 解决方案私有云工作负荷及其上运行的应用程序的访问。 可以使用 RBAC 分配适用于特定用户和组的角色和权限。 这些角色和权限是根据最低特权原则授予的。
可以为用户身份验证强制实施多重身份验证,以针对未经授权的访问提供额外的安全层。 各种多重身份验证方法(如移动推送通知)提供方便的用户体验,还有助于确保强身份验证。 可以将Azure VMware 解决方案与 Microsoft Entra ID 集成,以集中用户管理并利用 Microsoft Entra 高级安全功能。 功能的示例包括特权标识管理、多重身份验证和条件访问。
建议
- 使用 Azure AD 特权标识管理允许对 Azure 门户和控制窗格操作进行限时访问。 使用特权标识管理审核历史记录来跟踪高特权帐户执行的操作。
- 减少可以:
- 访问Azure 门户和 API。
- 导航到私有云Azure VMware 解决方案。
- 读取 VMware vCenter Server 和 VMware NSX-T 数据中心管理员帐户。
- 轮换 VMware vCenter Server 和 VMware NSX-T 数据中心的本地
cloudadmin
帐户凭据,以防止滥用和滥用这些管理帐户。 仅在 打破玻璃 方案中使用这些帐户。 为 VMware vCenter Server 创建服务器组和用户,并从外部标识源为其分配标识。 将这些组和用户用于特定的 VMware vCenter Server 和 VMware NSX-T 数据中心操作。 - 使用集中式标识源为来宾 VM 和应用程序配置身份验证和授权服务。
监视安全性和检测威胁
影响:安全性、卓越运营
安全监视和威胁检测涉及检测和响应Azure VMware 解决方案私有云工作负载的安全状况的变化。 必须遵循行业最佳做法并遵守法规要求,包括:
- 《医疗保险可移植性和责任法》(HIPAA)。
- 支付卡行业数据安全标准(PCI DSS)。
可以使用安全信息和事件管理(SIEM)工具或 Microsoft Sentinel 聚合、监视和分析安全日志和事件。 此信息可帮助你检测和响应潜在威胁。 定期进行审核评审也有助于避免威胁。 定期监视Azure VMware 解决方案环境时,可以更好地确保它符合安全标准和策略。
建议
- 使用以下 Azure 策略自动响应 Defender for Cloud 的建议:
- 安全警报的工作流自动化
- 安全建议的工作流自动化
- 用于法规合规性的工作流自动化发生更改
- 部署 Microsoft Sentinel 并将目标设置为 Log Analytics 工作区,以便从Azure VMware 解决方案私有云来宾 VM 收集日志。
- 使用数据连接器连接 Microsoft Sentinel 和 Defender for Cloud。
- 使用 Microsoft Sentinel playbook 和 Azure 自动化规则自动执行威胁响应。
建立安全基线
影响:安全性
Microsoft 云安全基准提供有关如何在 Azure 上保护云解决方案的建议。 此安全基线将 Microsoft 云安全基准版本 1.0 定义的控件应用于 Azure Policy。
建议
- 为了帮助保护工作负荷,请应用 Azure 安全基线中为Azure VMware 解决方案提供的建议。
后续步骤
现在,你已了解了保护Azure VMware 解决方案的最佳做法,请调查运营管理过程以实现卓越业务。
使用评估工具评估设计选择。