Azure VMware 解決方案 的安全性、治理和合規性
本文說明如何在整個生命週期中安全地實作及全面控管 Azure VMware 解決方案。 本文會探索特定設計元素,並提供 Azure VMware 解決方案 安全性、治理和合規性的目標建議。
安全性
決定哪些系統、使用者或裝置可以在 Azure VMware 解決方案 內執行功能,以及如何保護整體平臺時,請考慮下列因素。
身分識別安全性
永久存取的限制:Azure VMware 解決方案 會在裝載 Azure VMware 解決方案 私人雲端的 Azure 資源群組中使用參與者角色。 限制永久存取以防止故意或無意的參與者許可權濫用。 使用特殊許可權帳戶管理解決方案來稽核及限制高特殊許可權帳戶的使用時間。
在 Azure Privileged Identity Management (PIM) 內建立Microsoft Entra ID 特殊許可權存取群組,以管理 Microsoft Entra 使用者和服務主體帳戶。 使用此群組來建立和管理具有時間限制、理由型存取的 Azure VMware 解決方案 叢集。 如需詳細資訊,請參閱 為特殊許可權存取群組指派合格的擁有者和成員。
使用 Microsoft Entra PIM 稽核歷程記錄報告來 Azure VMware 解決方案 系統管理活動、作業和指派。 您可以封存 Azure 儲存體 中的報告,以符合長期稽核保留需求。 如需詳細資訊,請參閱 在 Privileged Identity Management (PIM) 中檢視特殊許可權存取群組指派的稽核報告。
集中式身分識別管理:Azure VMware 解決方案 提供雲端系統管理員和網路管理員認證,以設定 VMware 私人雲端環境。 所有具有角色型訪問控制 (RBAC) 存取權的參與者都可以看到這些系統管理帳戶 Azure VMware 解決方案。
若要防止過度使用或濫用內
cloudadmin
建和網路系統管理員使用者存取 VMware 私人雲端控制平面,請使用 VMware 私人雲端控制平面 RBAC 功能來正確管理角色和帳戶存取。 使用最低許可權原則建立多個目標身分識別物件,例如使用者和群組。 限制存取 Azure VMware 解決方案 所提供的系統管理員帳戶,並在中斷設定中設定帳戶。 只有在所有其他系統管理帳戶都無法使用時,才使用內建帳戶。使用提供的
cloudadmin
帳戶,將 Active Directory 網域服務 (AD DS) 或 Microsoft Entra Domain Services 與 VMware vCenter Server 和 NSX-T 數據中心控制應用程式和網域服務系統管理身分識別整合。 使用網域服務來源的使用者和群組進行 Azure VMware 解決方案 管理和作業,而且不允許帳戶共用。 建立 vCenter Server 自定義角色,並將其與 AD DS 群組產生關聯,以對 VMware 私人雲端控制介面進行更細緻的特殊許可權訪問控制。您可以使用 Azure VMware 解決方案 選項來輪替和重設 vCenter Server 和 NSX-T 資料中心系統管理帳戶密碼。 設定這些帳戶的一般輪替,並在您使用分鏡設定時輪替帳戶。 如需詳細資訊,請參閱輪替 Azure VMware 解決方案 的 cloudadmin 認證。
客體虛擬機(VM) 身分識別管理:為 Azure VMware 解決方案 來賓提供集中式驗證和授權,以提供有效率的應用程式管理,並防止未經授權的商務數據和程式存取。 在其生命週期中管理 Azure VMware 解決方案 來賓和應用程式。 將客體 VM 設定為使用集中式身分識別管理解決方案,以驗證及授權管理和應用程式使用。
使用集中式 AD DS 或輕量型目錄存取通訊協定 (LDAP) 服務,Azure VMware 解決方案 客體 VM 和應用程式身分識別管理。 請確定網域服務架構會考慮任何中斷情況,以確保在中斷期間持續運作。 將 AD DS 實作與 Microsoft Entra ID 連線,以進行進階管理和順暢的客體驗證和授權體驗。
環境和網路安全性
原生網路安全性功能: 實作網路安全性控制,例如流量篩選、Open Web Application Security Project (OWASP) 規則合規性、統一防火牆管理,以及分散式阻斷服務 (DDoS) 保護。
流量篩選 會控制區段之間的流量。 使用 NSX-T 資料中心 或網路虛擬裝置 (NVA) 功能來實作客體網路流量篩選裝置,以限制客體網路區段之間的存取。
OWASP 核心規則集合規性可保護 Azure VMware 解決方案 客體 Web 應用程式工作負載免受一般 Web 攻擊。 使用 Azure 應用程式閘道 Web 應用程式防火牆 (WAF) 的 OWASP 功能來保護裝載於 Azure VMware 解決方案 來賓上的 Web 應用程式。 使用最新的原則啟用預防模式,並確定將WAF記錄整合到您的記錄策略中。 如需詳細資訊,請參閱 Azure Web 應用程式防火牆 簡介。
整合防火牆規則管理 可防止重複或遺失防火牆規則增加未經授權的存取風險。 防火牆架構有助於 Azure VMware 解決方案 較大的網路管理和環境安全性狀態。 使用可設定狀態的受控防火牆架構,允許流量、檢查、集中式規則管理和事件收集。
DDoS 保護可保護 Azure VMware 解決方案 工作負載不受造成財務損失或用戶體驗不佳的攻擊。 在裝載 ExpressRoute 終止閘道的 Azure 虛擬網路上套用 DDoS 保護,以進行 Azure VMware 解決方案 連線。 請考慮使用 Azure 原則 來自動強制執行 DDoS 保護。
使用客戶自控金鑰的 VSAN 加密(CMK) 可讓 Azure VMware 解決方案 VSAN 資料存放區與儲存在 Azure 金鑰保存庫 中的客戶提供加密金鑰加密。 您可以使用這項功能來符合合規性需求,例如遵守密鑰輪替原則或管理密鑰生命週期事件。 如需詳細的實作指引和限制,請參閱在 Azure VMware 解決方案 中設定客戶管理的密鑰加密
受控制的 vCenter Server 存取:對 Azure VMware 解決方案 vCenter Server 的不受控制存取可能會增加受攻擊面區域。 使用專用的特殊許可權存取工作站 (PAW) 安全地存取 vCenter Server 和 NSX-T 管理員 Azure VMware 解決方案。 建立使用者群組,並將個別用戶帳戶新增至此使用者群組。
客體工作負載的輸入因特網要求記錄:使用 Azure 防火牆 或核准的 NVA 來維護客體 VM 傳入要求的稽核記錄。 將這些記錄匯入您的安全性事件和事件管理 (SIEM) 解決方案,以進行適當的監視和警示。 使用 Microsoft Sentinel 來處理 Azure 事件資訊和記錄,再整合至現有的 SIEM 解決方案。 如需詳細資訊,請參閱整合 適用於雲端的 Microsoft Defender 與 Azure VMware 解決方案。
輸出因特網連線安全性的會話監視:使用規則控制或會話稽核從 Azure VMware 解決方案 輸出因特網連線,以識別非預期或可疑的輸出因特網活動。 決定輸出網路檢查的時機和位置,以確保安全性上限。 如需詳細資訊,請參閱 Azure VMware 解決方案 的企業規模網路拓撲和連線能力。
使用特殊的防火牆、NVA 和虛擬廣域網 (虛擬 WAN) 服務進行輸出因特網連線,而不是依賴 Azure VMware 解決方案 的預設因特網連線。 如需詳細資訊和設計建議,請參閱在 Azure 虛擬網絡 中使用網路虛擬設備檢查 Azure VMware 解決方案 流量。
篩選具有 Azure 防火牆 的輸出流量時,請使用和完整功能變數名稱 (FQDN) 標籤等
Virtual Network
服務標籤進行識別。 針對其他 NVA 使用類似的功能。集中管理的安全備份: 使用 RBAC 和延遲刪除功能,協助防止故意或意外刪除復原環境所需的備份數據。 使用 Azure 金鑰保存庫 來管理加密金鑰,並限制對備份資料儲存位置的存取,以將刪除的風險降到最低。
使用 Azure 備份 或其他針對提供傳輸和待用加密的 Azure VMware 解決方案 驗證的備份技術。 使用 Azure 復原服務保存庫時,請使用資源鎖定和虛刪除功能,以防止意外或刻意刪除備份。 如需詳細資訊,請參閱企業規模的商務持續性和災害復原 Azure VMware 解決方案。
客體應用程式和 VM 安全性
進階威脅偵測: 若要防止各種安全性風險和數據外泄,請使用端點安全性防護、安全性警示設定、變更控制程式和弱點評估。 您可以使用 適用於雲端的 Microsoft Defender 進行威脅管理、端點保護、安全性警示、OS 修補,以及集中檢視法規合規性強制執行。 如需詳細資訊,請參閱整合 適用於雲端的 Microsoft Defender 與 Azure VMware 解決方案。
使用適用於伺服器的 Azure Arc 將客體 VM 上線。 上線之後,請使用 Azure Log Analytics、Azure 監視器和 適用於雲端的 Microsoft Defender 來收集記錄和計量,並建立儀錶板和警示。 使用 Microsoft Defender 資訊安全中心 來保護和警示與 VM 來賓相關聯的威脅。 如需詳細資訊,請參閱在 Azure VMware 解決方案 中整合及部署 Azure 原生服務。
在 VMware vSphere VM 上部署 Azure 監視器代理程式,再開始移轉,或在部署新的客體 VM 時部署。 設定數據收集規則,將計量和記錄傳送至 Azure Log Analytics 工作區。 移轉之後,請確認 Azure VMware 解決方案 VM 報告 Azure 監視器和 適用於雲端的 Microsoft Defender 中的警示。
或者,使用來自 Azure VMware 解決方案 認證合作夥伴的解決方案來評估 VM 安全性狀態,併為因特網安全性中心 (CIS) 需求提供法規合規性。
安全性分析:使用來自 Azure VMware 解決方案 VM 和其他來源的一致安全性事件集合、相互關聯和分析來偵測網路攻擊。 使用 適用於雲端的 Microsoft Defender 作為Microsoft Sentinel 的數據源。 設定與 Azure VMware 解決方案 部署相關的 Microsoft Defender、Azure Resource Manager、功能變數名稱系統 (DNS) 和其他 Azure 服務。 請考慮從認證合作夥伴使用 Azure VMware 解決方案 數據連接器。
客體 VM 加密:Azure VMware 解決方案 為基礎 vSAN 記憶體平臺提供待用數據加密。 某些具有文件系統存取權的工作負載和環境可能需要更多加密來保護數據。 在這些情況下,請考慮啟用客體 VM 作業系統 (OS) 和數據加密。 使用原生客體OS加密工具來加密客體 VM。 使用 Azure 金鑰保存庫 來儲存和保護加密金鑰。
資料庫加密和活動監視:加密 Azure VMware 解決方案 中的 SQL 和其他資料庫,以防止數據外泄時輕鬆存取數據。 針對資料庫工作負載,請使用待用加密方法,例如透明數據加密 (TDE) 或對等的原生資料庫功能。 確定工作負載使用加密的磁碟,且敏感性秘密會儲存在專用於資源群組的密鑰保存庫中。
在自備金鑰 (BYOK) 案例中,針對客戶管理的金鑰使用 Azure 金鑰保存庫,例如適用於 Azure 的 BYOK SQL 資料庫 透明數據加密 (TDE) 。 盡可能區分金鑰管理和數據管理職責。 如需 SQL Server 2019 如何使用 金鑰保存庫 的範例,請參閱搭配具有安全記憶體保護區的 Always Encrypted 使用 Azure 金鑰保存庫。
監視不尋常的資料庫活動,以降低內部攻擊的風險。 使用活動監視器或 Azure VMware 解決方案 認證合作夥伴解決方案等原生資料庫監視。 請考慮使用 Azure 資料庫服務進行增強的稽核控制。
延伸安全性更新 (ESU) 金鑰:提供和設定 ESU 金鑰,以在 Azure VMware 解決方案 VM 上推送和安裝安全性更新。 使用 大量啟用管理工具 來設定 Azure VMware 解決方案 叢集的 ESU 金鑰。 如需詳細資訊,請參閱 取得合格 Windows 裝置的延伸安全性更新。
程式代碼安全性:在DevOps工作流程中實作安全性量值,以防止 Azure VMware 解決方案工作負載中的安全性弱點。 使用新式驗證和授權工作流程,例如Open Authorization (OAuth) 和OpenID Connect。
在 Azure VMware 解決方案 上使用 GitHub Enterprise Server,以取得版本設定的存放庫,以確保程式代碼基底的完整性。 在 Azure VMware 解決方案 或安全的 Azure 環境中部署組建和執行代理程式。
治理
規劃環境和客體 VM 治理時,請考慮實作下列建議。
環境治理
vSAN 儲存空間: vSAN 儲存空間不足可能會影響 SLA 保證。 檢閱並瞭解 SLA 中 Azure VMware 解決方案 的客戶和合作夥伴責任。 針對 [數據存放區磁碟使用百分比] 計量上的警示指派適當的優先順序和擁有者。 如需詳細資訊和指引,請參閱在 Azure VMware 解決方案 中設定警示和使用計量。
VM 範本記憶體原則: 預設的粗布建記憶體原則可能會導致保留太多 vSAN 記憶體。 建立使用精簡布建記憶體原則的 VM 範本,其中不需要保留空間。 未預先保留完整記憶體數量的 VM 可讓記憶體資源更有效率。
主機配額治理: 主機配額不足可能會導致 5-7 天延遲,以取得更多主機容量以進行成長或災害復原 (DR) 需求。 要求主機配額時,將成長和DR需求納入解決方案設計,並定期檢閱環境成長和最大值,以確保擴充要求的適當前置時間。 例如,如果三節點 Azure VMware 解決方案 叢集需要DR另外三個節點,請要求六個節點的主機配額。 主機配額要求不會產生額外費用。
無法容忍 (FTT) 治理:建立與叢集大小相稱的 FTT 設定,以維護 Azure VMware 解決方案 的 SLA。 變更叢集大小以確保 SLA 合規性時,將 vSAN 記憶體原則 調整為適當的 FTT 設定。
ESXi 存取:Azure VMware 解決方案 ESXi 主機的存取受到限制。 需要ESXi主機存取權的第三方軟體可能無法運作。 識別來源環境中需要存取ESXi主機的任何 Azure VMware 解決方案 支援的第三方軟體。 熟悉並使用 Azure 入口網站 中 Azure VMware 解決方案 支援要求程式,以取得需要ESXi主機存取的情況。
ESXi 主機密度和效率: 為了獲得良好的投資報酬率(ROI),請瞭解ESXi主機使用率。 定義客體 VM 的健康密度,以最大化 Azure VMware 解決方案 投資,並針對該閾值監視整體節點使用率。 監視指出時,調整 Azure VMware 解決方案 環境的大小,並允許有足夠的前置時間新增節點。
網路監視: 監視內部網路流量是否有惡意或未知流量或遭入侵的網路。 實作 vRealize Network Insight (vRNI) 和 vRealize Operations (vROps),以深入瞭解 Azure VMware 解決方案 網路作業。
安全性、計劃性維護和服務健康狀態警示: 瞭解及檢視服務健康情況,以適當地規劃和回應中斷和問題。 針對 Azure VMware 解決方案 服務問題、計劃性維護、健康情況諮詢和安全性諮詢設定服務健康情況警示。 排程和規劃 Azure VMware 解決方案 Microsoft建議維護期間以外的工作負載活動。
成本治理: 監視成本,以取得良好的財務責任和預算配置。 使用成本管理解決方案進行成本追蹤、成本配置、預算建立、成本警示,以及良好的財務治理。 針對 Azure 計費費用,請使用 Microsoft 成本管理工具 來建立預算、產生警示、配置成本,以及產生財務專案關係人的報告。
Azure 服務整合: 避免使用 Azure 平臺即服務公用端點 (PaaS),這可能會導致流量離開所需的網路界限。 為了確保流量會保留在定義的虛擬網路界限內,請使用私人端點來存取 Azure SQL 資料庫 和 Azure Blob 儲存體 等 Azure 服務。
工作負載應用程式和 VM 治理
Azure VMware 解決方案 工作負載 VM 的安全性狀態感知可協助您了解網路安全整備程度和回應,並提供客體 VM 和應用程式的完整安全性涵蓋範圍。
啟用執行 Azure 服務和 Azure VMware 解決方案 應用程式 VM 工作負載的 適用於雲端的 Microsoft Defender。
使用已啟用 Azure Arc 的伺服器,透過復寫 Azure 原生資源工具的工具來管理 Azure VMware 解決方案 客體 VM,包括:
- Azure 原則 管理、報告和稽核機器組態和設定
- Azure 自動化 狀態設定和支援的擴充功能,以簡化部署
- 更新管理來管理 Azure VMware 解決方案 應用程式 VM 環境更新
- 用來管理和組織 Azure VMware 解決方案 應用程式 VM 清查的標籤
如需詳細資訊,請參閱 已啟用 Azure Arc 的伺服器概觀。
工作負載 VM 網域治理:若要避免容易發生錯誤的手動程式,請使用擴充功能,例如
JsonADDomainExtension
或對等的自動化選項,讓 Azure VMware 解決方案 客體 VM 自動加入 Active Directory 網域。工作負載 VM 記錄和監視: 在工作負載 VM 上啟用診斷計量和記錄,以更輕鬆地偵錯 OS 和應用程式問題。 實作記錄收集與查詢功能,以提供快速的回應時間以進行偵錯和疑難解答。 針對工作負載 VM 啟用近乎即時 的 VM 深入解析 ,以提示偵測效能瓶頸和作業問題。 設定 記錄警示 以擷取工作負載 VM 的界限條件。
在移轉之前或在 Azure VMware 解決方案 環境中部署新的工作負載 VM 時,在 VMware vSphere 工作負載 VM 上部署 Azure 監視器代理程式。 設定數據收集規則,將計量和記錄傳送至 Azure Log Analytics 工作區,並將 Azure Log Analytics 工作區連結至 Azure 自動化。 使用 Azure 監視器進行移轉之前,驗證部署的任何工作負載 VM 監視代理程式的狀態。
工作負載 VM 更新治理:延遲或不完整的更新或修補是導致 Azure VMware 解決方案 工作負載 VM 和應用程式公開或破壞的最上層攻擊媒介。 請確定客體 VM 上及時更新安裝。
工作負載 VM 備份治理: 排程定期備份以防止備份遺失,或依賴可能導致數據遺失的舊備份。 使用可採取排程備份並監視備份成功的備份解決方案。 監視備份事件併發出警示,以確保排程的備份能夠順利執行。
工作負載 VM DR 治理: 未記載的恢復點目標 (RPO) 和復原時間目標 (RTO) 需求可能會導致不良的客戶體驗,並在商務持續性和災害復原 (BCDR) 事件期間未達到作業目標。 實作DR協調流程,以防止商務持續性的延遲。
針對提供DR協調流程的 Azure VMware 解決方案 使用DR解決方案,並偵測並報告成功持續復寫至DR月臺的任何失敗或問題。 記載在 Azure 和 Azure VMware 解決方案 中執行之應用程式的 RPO 和 RTO 需求。 透過協調流程,選擇符合可驗證 RPO 和 RTO 需求的災害復原和商務持續性解決方案設計。
法規遵循
規劃 Azure VMware 解決方案 環境和工作負載 VM 合規性時,請考慮並實作下列建議。
適用於雲端的 Microsoft Defender 監視:使用 適用於雲端的 Defender 中的法規合規性檢視來監視安全性與法規基準的合規性。 設定 適用於雲端的 Defender 工作流程自動化,以追蹤與預期合規性狀態的任何偏差。 如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender 概觀。
工作負載 VM DR 合規性:追蹤 Azure VMware 解決方案 工作負載 VM 的 DR 設定合規性,以確保其任務關鍵性應用程式在災害期間保持可用。 使用 Azure Site Recovery 或 Azure VMware 解決方案 認證的 BCDR 解決方案,其可提供大規模復寫布建、不符合規範的狀態監視,以及自動補救。
工作負載 VM 備份合規性:追蹤和監視 Azure VMware 解決方案 工作負載 VM 備份合規性,以確保 VM 已備份。 使用 Azure VMware 解決方案 認證的合作夥伴解決方案,提供大規模檢視方塊、向下切入分析,以及追蹤和監視工作負載 VM 備份的可操作介面。
國家/地區或產業特有的合規性:若要避免成本高昂的法律動作和罰款,請確定 Azure VMware 解決方案 工作負載符合國家/地區和產業特有的法規。 瞭解產業或區域法規合規性的雲端 共同責任 模型。 使用服務信任入口網站來檢視或下載支援整個合規性案例的 Azure VMware 解決方案 和 Azure 稽核報告。
在 HTTP/S 和非 HTTP/S 端點上實作防火牆稽核報告,以符合法規需求。
公司原則合規性:使用公司原則監視 Azure VMware 解決方案 工作負載 VM 合規性,以防止違反公司規則和法規。 使用已啟用 Azure Arc 的伺服器和 Azure 原則 或對等的第三方解決方案。 定期評估及管理 Azure VMware 解決方案 工作負載 VM 和應用程式,以符合適用的內部和外部法規。
數據保留和落地需求:Azure VMware 解決方案 不支援保留或擷取儲存在叢集中的數據。 刪除叢集會終止所有執行中的工作負載和元件,並終結所有叢集數據和組態設定,包括公用IP位址。 無法復原此數據。
數據處理: 當您註冊時閱讀並瞭解法律條款。 請注意 VMware 數據處理協定,Microsoft Azure VMware 解決方案 針對 L3 支援轉移的客戶。 如果支持問題需要 VMware 支援,Microsoft與 VMware 共用專業服務數據和相關聯的個人資料。 從這一點開始,Microsoft和 VMware 會作為兩個獨立的數據處理者。
下一步
本文是以企業級登陸區域架構設計原則和指導方針 雲端採用架構 為基礎。 如需詳細資訊,請參閱
本文是一系列文章的一部分,可將企業級登陸區域原則和建議套用至 Azure VMware 解決方案 部署。 本系列中的其他文章包括:
- 適用於 Azure VMware 解決方案 的企業級身分識別和存取管理
- 適用於 Azure VMware 解決方案 的企業規模網路拓撲和連線能力
- 適用於 Azure VMware 解決方案的企業級平臺自動化和 DevOps
- 適用於 Azure VMware 解決方案 的企業級商務持續性和災害復原
閱讀系列中的下一篇文章: