Zabezpečení, zásady správného řízení a dodržování předpisů pro řešení Azure VMware

Tento článek popisuje, jak bezpečně implementovat a holisticky řídit řešení Azure VMware v průběhu životního cyklu. Tento článek zkoumá konkrétní prvky návrhu a poskytuje cílová doporučení pro zabezpečení, zásady správného řízení a dodržování předpisů azure VMware Solution.

Zabezpečení

Při rozhodování o tom, které systémy, uživatele nebo zařízení můžou provádět funkce v rámci azure VMware Solution, a jak zabezpečit celkovou platformu, zvažte následující faktory.

Zabezpečení identit

• Omezení trvalého přístupu: Azure VMware Solution používá roli Přispěvatel ve skupině prostředků Azure, která je hostitelem privátního cloudu Azure VMware Solution. Omezte trvalý přístup, abyste zabránili úmyslnému nebo neúmyslnému zneužití práv přispěvatelů. K auditování a omezení časového využití vysoce privilegovaných účtů použijte řešení pro správu privilegovaných účtů.

  Vytvořte skupinu privilegovaného přístupu Microsoft Entra ID v rámci služby Azure Privileged Identity Management (PIM) pro správu účtů uživatelů a instančních objektů Microsoft Entra. Pomocí této skupiny můžete vytvořit a spravovat cluster Azure VMware Solution s přístupem na základě časového omezení. Další informace najdete v tématu Přiřazení oprávněných vlastníků a členů pro privilegované přístupové skupiny.

  Sestavy historie auditu Microsoft Entra PIM slouží k aktivitám, operacím a přiřazením správy řešení Azure VMware Solution. Sestavy ve službě Azure Storage můžete archivovat pro potřeby dlouhodobého uchovávání auditu. Další informace najdete v tématu Zobrazení sestavy auditu pro přiřazení skupin s privilegovaným přístupem ve službě Privileged Identity Management (PIM).

• Centralizovaná správa identit: Azure VMware Solution poskytuje přihlašovací údaje správce cloudu a správce sítě pro konfiguraci prostředí privátního cloudu VMware. Tyto účty pro správu jsou viditelné všem přispěvatelům, kteří mají přístup řízení přístupu na základě role (RBAC) ke službě Azure VMware Solution.

  Abyste zabránili nadměrnému využití nebo zneužití předdefinovaných cloudadmin uživatelů a uživatelů správce sítě pro přístup k rovině řízení privátního cloudu VMware, použijte funkce RBAC roviny řízení privátního cloudu VMware k řádné správě přístupu k rolím a účtům. Vytvořte několik cílových objektů identity, jako jsou uživatelé a skupiny, pomocí principů nejnižších oprávnění. Omezte přístup k účtům správců, které poskytuje Azure VMware Solution, a nakonfigurujte účty v konfiguraci rozbitého skla. Předdefinované účty používejte jenom v případech, kdy jsou všechny ostatní účty pro správu nepoužitelné.

  Pomocí poskytnutého cloudadmin účtu můžete integrovat služby Doména služby Active Directory Services (AD DS) nebo Microsoft Entra Domain Services se systémem VMware vCenter Server a data Center NSX-T, které řídí aplikace a identity pro správu doménových služeb. Používejte uživatele a skupiny zdrojové doménovými službami pro správu a provoz řešení Azure VMware a nepovolujte sdílení účtů. Vytvořte vlastní role vCenter Serveru a přidružte je ke skupinám SLUŽBY AD DS pro jemně odstupňované řízení privilegovaného přístupu k ovládacím prvkům privátního cloudu VMware.

  K obměně a resetování hesel účtů pro správu vCenter Serveru a NSX-T data Center můžete použít možnosti řešení Azure VMware Solution. Nakonfigurujte pravidelnou obměnu těchto účtů a otáčejte účty kdykoliv použijete konfiguraci rozbitého skla. Další informace najdete v tématu Obměna přihlašovacích údajů správce cloudu pro řešení Azure VMware.

• Správa identit hostovaného virtuálního počítače: Zajištění centralizovaného ověřování a autorizace pro hosty azure VMware Solution za účelem zajištění efektivní správy aplikací a zabránění neoprávněnému přístupu k obchodním datům a procesům Spravujte hosty a aplikace Azure VMware Solution v rámci jejich životního cyklu. Nakonfigurujte hostované virtuální počítače tak, aby používaly centralizované řešení správy identit k ověřování a autorizaci pro správu a použití aplikací.

  Pro hostované virtuální počítače Azure VMware Solution a správu identit aplikací použijte centralizovanou službu AD DS nebo LDAP (Lightweight Directory Access Protocol). Ujistěte se, že účty architektury služby Domain Services pro všechny scénáře výpadků zajišťují pokračování funkčnosti během výpadků. Připojení implementaci služby AD DS s Microsoft Entra ID pro pokročilou správu a bezproblémové ověřování a autorizaci hosta.

Zabezpečení prostředí a sítě

• Možnosti zabezpečení nativní sítě: Implementujte řízení zabezpečení sítě, jako je filtrování provozu, dodržování předpisů OWASP (Open Web Application Security Project), sjednocená správa brány firewall a distribuovaná ochrana před dostupností služby (DDoS).

  • Filtrování provozu řídí provoz mezi segmenty. Implementujte zařízení pro filtrování síťového provozu hosta pomocí možností datového centra NSX-T nebo síťových virtuálních zařízení (NVA) k omezení přístupu mezi segmenty sítě hostů.

  • Dodržování předpisů sady základních pravidel OWASP chrání úlohy hostující webové aplikace Azure VMware Solution před obecnými webovými útoky. Pomocí možností OWASP brány firewall webových aplikací (WAF) Aplikace Azure Gateway můžete chránit webové aplikace hostované na hostech řešení Azure VMware. Povolte režim prevence pomocí nejnovějších zásad a nezapomeňte do strategie protokolování integrovat protokoly WAF. Další informace najdete v tématu Úvod do služby Azure Web Application Firewall.

  • Sjednocená správa pravidel brány firewall zabraňuje duplicitním nebo chybějícím pravidlům brány firewall zvýšit riziko neoprávněného přístupu. Architektura brány firewall přispívá k většímu stavu správy sítě a zabezpečení prostředí pro Azure VMware Solution. Použijte stavovou spravovanou architekturu brány firewall, která umožňuje tok provozu, kontrolu, centralizovanou správu pravidel a shromažďování událostí.

  • Ochrana před útoky DDoS chrání úlohy Azure VMware Solution před útoky, které způsobují finanční ztrátu nebo špatné uživatelské prostředí. Použijte ochranu před útoky DDoS ve virtuální síti Azure, která hostuje bránu ukončení ExpressRoute pro připojení azure VMware Solution. Zvažte použití služby Azure Policy k automatickému vynucování ochrany před útoky DDoS.

• Šifrování VSAN s využitím klíčů spravovaných zákazníkem (CMK) umožňuje šifrování úložišť dat VSAN řešení Azure VMware s využitím šifrovacího klíče uloženého ve službě Azure Key Vault. Tuto funkci můžete použít ke splnění požadavků na dodržování předpisů, jako je dodržování zásad obměně klíčů nebo správa událostí životního cyklu klíčů. Podrobné pokyny k implementaci a omezení najdete v tématu Konfigurace šifrování neaktivních uložených klíčů spravovaných zákazníkem v Řešení Azure VMware

• Řízený přístup k vCenter Serveru: Nesměrovaný přístup k azure VMware Solution vCenter Serveru může zvýšit prostor pro útok. K bezpečnému přístupu k serveru Azure VMware Solution vCenter a správci NSX-T použijte vyhrazenou pracovní stanici s privilegovaným přístupem. Vytvořte skupinu uživatelů a přidejte do této skupiny uživatelů individuální uživatelský účet.

• Protokolování příchozích internetových požadavků pro úlohy hosta: Použijte bránu Azure Firewall nebo schválené síťové virtuální zařízení, které udržuje protokoly auditu pro příchozí požadavky na hostující virtuální počítače. Naimportujte tyto protokoly do řešení incidentů zabezpečení a správy událostí (SIEM) pro účely vhodného monitorování a upozorňování. Microsoft Sentinel slouží ke zpracování informací o událostech Azure a protokolování před integrací do stávajících řešení SIEM. Další informace najdete v tématu Integrace Microsoft Defenderu pro cloud se službou Azure VMware Solution.

• Monitorování relací pro zabezpečení odchozího připojení k internetu: K identifikaci neočekávaných nebo podezřelých odchozích internetových aktivit použijte řízení pravidel nebo auditování relací odchozího připojení k internetu ze služby Azure VMware Solution. Rozhodněte, kdy a kde umístit kontrolu odchozí sítě, aby se zajistilo maximální zabezpečení. Další informace najdete v tématu Topologie sítě na podnikové úrovni a připojení pro řešení Azure VMware.

  Pro odchozí připojení k internetu používejte specializované služby brány firewall, síťového virtuálního zařízení a virtuální sítě WAN ( Virtual WAN) místo toho, abyste se spoléhali na výchozí připojení k internetu ve službě Azure VMware Solution. Další informace a doporučení k návrhu najdete v tématu Kontrola provozu řešení Azure VMware pomocí síťového virtuálního zařízení ve službě Azure Virtual Network.

  Při filtrování odchozího provozu pomocí služby Azure Firewall používejte značky jako Virtual Network plně kvalifikované názvy domén (FQDN) k identifikaci. Pro jiné síťové virtuální zařízení použijte podobnou funkci.

• Centrálně spravované zabezpečené zálohy: Používejte funkce RBAC a zpožděného odstranění, které pomáhají zabránit úmyslnému nebo náhodnému odstranění zálohovaných dat potřebných k obnovení prostředí. Ke správě šifrovacích klíčů použijte Azure Key Vault a omezte přístup k umístění úložiště zálohovaných dat, abyste minimalizovali riziko odstranění.

  Použijte Službu Azure Backup nebo jinou technologii zálohování ověřenou pro řešení Azure VMware, která zajišťuje šifrování přenášených a neaktivních uložených dat. Pokud používáte trezory služby Azure Recovery Services, použijte zámky prostředků a funkce obnovitelného odstranění k ochraně před náhodným nebo úmyslným odstraněním zálohy. Další informace najdete v tématu Provozní kontinuita a zotavení po havárii na podnikové úrovni pro řešení Azure VMware.

Zabezpečení hostující aplikace a virtuálního počítače

• Pokročilá detekce hrozeb: Abyste zabránili různým bezpečnostním rizikům a porušením zabezpečení dat, použijte ochranu zabezpečení koncových bodů, konfiguraci výstrah zabezpečení, procesy řízení změn a posouzení ohrožení zabezpečení. Microsoft Defender for Cloud můžete použít pro správu hrozeb, ochranu koncových bodů, výstrahy zabezpečení, opravy operačního systému a centralizované zobrazení dodržování právních předpisů. Další informace najdete v tématu Integrace Microsoft Defenderu pro cloud se službou Azure VMware Solution.

  K nasazení hostovaného virtuálního počítače použijte Azure Arc pro servery. Po nasazení můžete ke shromažďování protokolů a metrik a vytváření řídicích panelů a upozornění použít Azure Log Analytics, Azure Monitor a Microsoft Defender for Cloud. Pomocí Centrum zabezpečení v programu Microsoft Defender můžete chránit a upozorňovat na hrozby spojené s hosty virtuálních počítačů. Další informace najdete v tématu Integrace a nasazení nativních služeb Azure v Řešení Azure VMware.

  Před zahájením migrace nebo nasazením nových hostujících virtuálních počítačů nasaďte agenta Log Analytics na virtuální počítače VMware vSphere. Nakonfigurujte agenta MMA tak, aby odesílal metriky a protokoly do pracovního prostoru Služby Azure Log Analytics. Po migraci ověřte, že virtuální počítač Azure VMware Solution hlásí výstrahy ve službě Azure Monitor a Microsoft Defender for Cloud.

  Alternativně můžete použít řešení od certifikovaného partnera azure VMware Solution k posouzení stavu zabezpečení virtuálních počítačů a zajištění dodržování právních předpisů vůči požadavkům Center for Internet Security (CIS).

• Analýza zabezpečení: K detekci kybernetických útoků můžete využít soudržné shromažďování událostí zabezpečení, korelaci a analýzy z virtuálních počítačů Azure VMware Solution a dalších zdrojů. Použijte Microsoft Defender pro cloud jako zdroj dat pro Microsoft Sentinel. Nakonfigurujte Microsoft Defender for Storage, Azure Resource Manager, DNS (Domain Name System) a další služby Azure související s nasazením řešení Azure VMware. Zvažte použití datového konektoru Azure VMware Solution od certifikovaného partnera.

• Šifrování hostovaného virtuálního počítače: Azure VMware Solution poskytuje šifrování neaktivních uložených dat pro základní platformu úložiště vSAN. Některé úlohy a prostředí s přístupem k systému souborů můžou vyžadovat větší šifrování pro ochranu dat. V těchto situacích zvažte povolení šifrování hostovaného operačního systému a dat virtuálního počítače. K šifrování hostovaného virtuálního počítače použijte nativní nástroje pro šifrování hostovaného operačního systému. K ukládání a ochraně šifrovacích klíčů použijte Azure Key Vault.

• Šifrování databáze a monitorování aktivit: Šifrování SQL a dalších databází v Řešení Azure VMware, aby se zabránilo snadnému přístupu k datům v případě porušení zabezpečení dat. Pro databázové úlohy použijte metody šifrování neaktivních uložených dat, jako je transparentní šifrování dat (TDE) nebo ekvivalentní nativní databázová funkce. Zajistěte, aby úlohy používaly šifrované disky a že citlivé tajné kódy jsou uložené v trezoru klíčů vyhrazeném pro skupinu prostředků.

  Azure Key Vault můžete použít pro klíče spravované zákazníkem ve scénářích byOK (Bring-Own-Key), jako je BYOK pro transparentní šifrování dat (TDE) ve službě Azure SQL Database. Pokud je to možné, oddělte správu klíčů a povinnosti správy dat. Příklad použití služby Key Vault pro SQL Server 2019 najdete v tématu Použití služby Azure Key Vault se službou Always Encrypted se zabezpečenými enklávy.

  Monitorujte neobvyklé databázové aktivity, abyste snížili riziko útoku insider. Používejte nativní monitorování databáze, jako je Monitorování aktivit nebo partnerské řešení certifikované pro Azure VMware Solution. Zvažte použití databázových služeb Azure pro rozšířené kontroly auditování.

• Klíče rozšířené aktualizace zabezpečení (ESU): Poskytují a konfigurují klíče ESU pro nabízení a instalaci aktualizací zabezpečení na virtuálních počítačích Azure VMware Solution. Ke konfiguraci klíčů ESU pro cluster Azure VMware Solution použijte Nástroj pro správu aktivace multilicence (VAMT). Další informace najdete v tématu Získání rozšířených Aktualizace zabezpečení pro zařízení s Windows.

• Zabezpečení kódu: Implementujte míru zabezpečení v pracovních postupech DevOps, abyste zabránili ohrožením zabezpečení v úlohách Azure VMware Solution. Používejte moderní ověřovací a autorizační pracovní postupy, jako jsou Open Authorization (OAuth) a OpenID Připojení.

  Použijte GitHub Enterprise Server v Azure VMware Solution pro úložiště s verzí, které zajišťuje integritu základu kódu. Nasaďte agenty sestavení a spouštění buď v Azure VMware Solution, nebo v zabezpečeném prostředí Azure.

Řízení

Při plánování prostředí a zásad správného řízení virtuálních počítačů hosta zvažte implementaci následujících doporučení.

Zásady správného řízení prostředí

• Prostor úložiště vSAN: Nedostatečný prostor úložiště vSAN může mít vliv na záruky smlouvy SLA. Projděte si a seznamte se s odpovědnostmi zákazníků a partnerů ve sla pro Azure VMware Solution. Přiřaďte příslušné priority a vlastníky upozornění na metriku Procento využitého disku úložiště dat. Další informace a pokyny najdete v tématu Konfigurace upozornění a práce s metrikami ve službě Azure VMware Solution.

• Zásady úložiště šablon virtuálních počítačů: Výchozí zásady silného zřízeného úložiště můžou způsobit rezervaci příliš velkého úložiště vSAN. Vytvořte šablony virtuálních počítačů, které používají zásady dynamicky zřízeného úložiště, kde se nevyžadují rezervace místa. Virtuální počítače, které si nezarezervují celou velikost úložiště předem, umožňují efektivnější prostředky úložiště.

• Zásady správného řízení kvót hostitelů: Nedostatečné kvóty hostitelů můžou vést k 5 až 7denním zpožděním při zvyšování kapacity hostitele pro potřeby růstu nebo zotavení po havárii (DR). Požadavky na růst faktoru a zotavení po havárii do návrhu řešení při žádosti o kvótu hostitele a pravidelně kontrolují růst prostředí a maxima, aby se zajistilo správné předstihy pro žádosti o rozšíření. Pokud například cluster Azure VMware Solution se třemi uzly potřebuje pro zotavení po havárii další tři uzly, požádejte o kvótu hostitele šesti uzlů. Za žádosti o kvótu hostitele se neúčtují další náklady.

• Zásady správnéhořízeního služby (FTT): Nastavte nastavení FTT v rozsahu clusteru tak, aby se zachovala smlouva SLA pro Azure VMware Solution. Při změně velikosti clusteru upravte zásady úložiště vSAN na odpovídající nastavení FTT, aby se zajistila shoda se smlouvou SLA.

• Přístup k ESXi: Přístup k hostitelům Azure VMware Solution ESXi je omezený. Software třetích stran, který vyžaduje přístup hostitele ESXi, nemusí fungovat. Identifikujte jakýkoli software třetích stran podporovaný řešením Azure VMware ve zdrojovém prostředí, který potřebuje přístup k hostiteli ESXi. Seznamte se s procesem žádosti o podporu řešení Azure VMware na webu Azure Portal a seznamte se s nimi v situacích, které potřebují přístup k hostiteli ESXi.

• Hustota a efektivita hostitele ESXi: Pro dobrou návratnost investic (ROI) porozumíte využití hostitelů ESXi. Definujte hustotu hostovaných virtuálních počítačů, abyste maximalizovali investice do řešení Azure VMware, a monitorujte celkové využití uzlů s danou prahovou hodnotou. Změňte velikost prostředí Azure VMware Solution při monitorování a povolte dostatečný čas pro přidání uzlů.

• Monitorování sítě: Monitorujte interní síťový provoz pro škodlivé nebo neznámé přenosy nebo ohrožené sítě. Implementace vRealize Network Insight (vRNI) a vRealize Operations (vROps) pro podrobné přehledy o síťových operacích azure VMware Solution

• Výstrahy zabezpečení, plánované údržby a služby Service Health: Vysvětlení a zobrazení stavu služby za účelem plánování a reakce na výpadky a problémy odpovídajícím způsobem. Nakonfigurujte upozornění služby Service Health pro problémy se službou Azure VMware Solution, plánovanou údržbu, poradce pro stav a poradce pro zabezpečení. Naplánujte a naplánujte aktivity úloh Azure VMware Solution mimo časová období údržby navrhované Microsoftem.

• Zásady správného řízení nákladů: Monitorujte náklady pro dobrou finanční odpovědnost a přidělování rozpočtu. Použijte řešení správy nákladů pro sledování nákladů, přidělování nákladů, vytváření rozpočtu, upozornění na náklady a dobré finanční zásady správného řízení. U fakturovaných poplatků za Azure můžete pomocí nástrojů Azure Cost Management a fakturace vytvářet rozpočty, generovat výstrahy, přidělovat náklady a vytvářet sestavy pro finanční účastníky.

• Integrace služeb Azure: Vyhněte se použití veřejného koncového bodu platformy Azure jako služby (PaaS), což může vést k tomu, že provoz opustí požadované hranice sítě. Pokud chcete zajistit, aby provoz zůstal v rámci definované hranice virtuální sítě, použijte privátní koncový bod pro přístup ke službám Azure, jako je Azure SQL Database a Azure Blob Storage.

Zásady správného řízení aplikací úloh a virtuálních počítačů

Povědomí o stavu zabezpečení pro virtuální počítače úloh Azure VMware Solution pomáhá pochopit připravenost a reakci na kybernetickou bezpečnost a zajistit kompletní pokrytí zabezpečení pro hostované virtuální počítače a aplikace.

• Povolte Microsoft Defender for Cloud pro spouštění služeb Azure a úloh aplikačních virtuálních počítačů Azure VMware Solution.

• Servery s podporou Azure Arc můžete použít ke správě hostovaných virtuálních počítačů Azure VMware Solution pomocí nástrojů, které replikují nativní nástroje prostředků Azure, včetně:

  • Azure Policy pro řízení, vytváření sestav a auditování konfigurací a nastavení hosta
  • Azure Automation State Configuration a podporovaná rozšíření pro zjednodušení nasazení
  • Správa aktualizací pro správu aktualizací pro virtuální počítač aplikace Azure VMware Solution
  • Značky pro správu a uspořádání inventáře virtuálních počítačů aplikace Azure VMware Solution

  Další informace najdete v přehledu serverů s podporou služby Azure Arc.

• Zásady správného řízení domény virtuálních počítačů úloh: Abyste se vyhnuli ručním procesům náchylným k chybám, použijte rozšíření, jako JsonADDomainExtension jsou možnosti automatizace, a povolte tak hostovaným virtuálním počítačům Azure VMware Solution automatické připojení k doméně Active Directory.

• Protokolování a monitorování virtuálních počítačů úloh: Povolte diagnostické metriky a protokolování na virtuálních počítačích úloh, abyste mohli snadněji ladit problémy s operačním systémem a aplikacemi. Implementujte možnosti shromažďování protokolů a dotazování, které poskytují rychlé doby odezvy pro ladění a řešení potíží. Povolte přehledy virtuálních počítačů téměř v reálném čase na virtuálních počítačích úloh pro zjišťování kritických bodů výkonu a provozních problémů. Nakonfigurujte upozornění protokolu tak, aby zaznamenávala podmínky hranic pro virtuální počítače úloh.

  Před migrací nasaďte agenta Log Analytics (MMA) na virtuální počítače úloh VMware vSphere nebo při nasazování nových virtuálních počítačů úloh v prostředí Azure VMware Solution. Nakonfigurujte MMA s pracovním prostorem Služby Azure Log Analytics a propojte pracovní prostor Služby Azure Log Analytics se službou Azure Automation. Ověřte stav všech agentů MMA virtuálních počítačů úloh nasazených před migrací pomocí služby Azure Monitor po migraci.

• Zásady správného řízení aktualizací virtuálních počítačů úloh: Zpožděné nebo neúplné aktualizace nebo opravy představují vektory útoku, které můžou vést k vystavení nebo ohrožení virtuálních počítačů a aplikací úloh Azure VMware Solution. Zajistěte včasné instalace aktualizací na hostovaném virtuálním počítači.

• Zásady správného řízení zálohování virtuálních počítačů úloh: Naplánujte pravidelné zálohování, abyste zabránili zmeškaným zálohám nebo závislosti na starých zálohách, které můžou vést ke ztrátě dat. Použijte řešení zálohování, které může provádět naplánované zálohování a monitorovat úspěch zálohování. Monitorujte a upozorňovat na události zálohování, abyste zajistili úspěšné spuštění naplánovaných záloh.

• Zásady správného řízení zotavení po havárii virtuálních počítačů úloh: Požadavky cíle bodu obnovení (RPO) a cíle doby obnovení (RTO) můžou způsobit špatné uživatelské prostředí a nemetované provozní cíle během událostí provozní kontinuity a zotavení po havárii (BCDR). Implementujte orchestraci zotavení po havárii, abyste zabránili zpoždění v kontinuitě podnikových procesů.

  Použijte řešení zotavení po havárii pro řešení Azure VMware, které poskytuje orchestraci zotavení po havárii, a zjišťuje a hlásí případné selhání nebo problémy s úspěšnou průběžnou replikací do lokality zotavení po havárii. Zdokumentujte požadavky na RPO a RTO pro aplikace běžící v Azure a Azure VMware Solution. Zvolte návrh řešení zotavení po havárii a provozní kontinuity, který splňuje ověřitelné požadavky cíle bodu obnovení a RTO prostřednictvím orchestrace.

Dodržování předpisů

Při plánování dodržování předpisů pro prostředí Azure VMware Solution a dodržování předpisů virtuálních počítačů úloh zvažte a implementujte následující doporučení.

• Monitorování v programu Microsoft Defender pro cloud: Monitorování dodržování právních předpisů v programu Defender for Cloud umožňuje monitorovat dodržování předpisů a srovnávacích testů zabezpečení. Nakonfigurujte automatizaci pracovních postupů Defenderu pro cloud tak, aby sledovala jakoukoli odchylku od očekávaného stavu dodržování předpisů. Další informace najdete v přehledu programu Microsoft Defender for Cloud.

• Dodržování předpisů pro zotavení po havárii virtuálních počítačů s virtuálními počítači s virtuálními počítači virtuálních počítačů zotavení po havárii: Sledujte dodržování předpisů konfigurace zotavení po havárii u virtuálních počítačů Azure VMware Solution, abyste zajistili, že jejich klíčové aplikace zůstanou dostupné. Použijte Azure Site Recovery nebo certifikované řešení BCDR s certifikací Azure VMware Solution, které poskytuje zřizování replikace ve velkém měřítku, monitorování stavu nedodržování předpisů a automatickou nápravu.

• Dodržovánípředpisůchm předpisům virtuálních počítačů úloh virtuálních počítačů úloh Azure VMware Solution: Sledujte a monitorujte dodržování předpisů pro zálohování virtuálních počítačů azure VMware Solution, abyste zajistili zálohování virtuálních počítačů. Použijte partnerské řešení s certifikací Azure VMware Solution, které poskytuje perspektivní perspektivu, analýzu podrobností a použitelné rozhraní pro sledování a monitorování zálohování virtuálních počítačů úloh.

• Dodržování předpisů specifické pro zemi nebo oblast nebo odvětví: Abyste se vyhnuli nákladným právním akcím a pokutám, zajistěte dodržování předpisů řešení Azure VMware s předpisy, které jsou specifické pro zemi nebo oblast a odvětví. Seznamte se s modelem sdílené odpovědnosti v cloudu pro dodržování právních předpisů založených na odvětvích nebo oblastech. Pomocí portálu Service Trust Portal můžete zobrazit nebo stáhnout sestavy azure VMware Solution a Azure Audit, které podporují celý scénář dodržování předpisů.

  Implementujte vytváření sestav auditu brány firewall na koncových bodech HTTP/S a jiných než HTTP/S, aby splňovaly zákonné požadavky.

• Dodržování podnikových zásad: Monitorování dodržování předpisů pro úlohy Azure VMware Solution v souladu s podnikovými zásadami, abyste zabránili porušení firemních pravidel a předpisů. Používejte servery s podporou Azure Arc a Azure Policy nebo ekvivalentní řešení třetích stran. Rutinně vyhodnocujte a spravujte virtuální počítače a aplikace úloh Azure VMware Solution za účelem dodržování právních předpisů s platnými interními a externími předpisy.

• Požadavky na uchovávání a rezidenci dat: Azure VMware Solution nepodporuje uchovávání ani extrahování dat uložených v clusterech. Odstranění clusteru ukončí všechny spuštěné úlohy a komponenty a zničí všechna nastavení konfigurace a dat clusteru, včetně veřejných IP adres. Tato data nelze obnovit.

  Azure VMware Solution nezaručuje, že všechna metadata a konfigurační data pro spuštění služby existují pouze v nasazené geografické oblasti. Pokud vaše požadavky na rezidenci dat vyžadují, aby všechna data existovala v nasazené oblasti, požádejte o pomoc podporu řešení Azure VMware.

• Zpracování dat: Při registraci si přečtěte a porozumíte právním podmínkám. Věnujte pozornost smlouvě o zpracování dat VMware pro zákazníky microsoft Azure VMware Solution převedené na podporu L3. Pokud problém podpory vyžaduje podporu VMware, sdílí Microsoft profesionální data služeb a související osobní údaje s VMware. Od tohoto okamžiku microsoft a VMware fungují jako dva nezávislí zpracovatelé dat.

Další kroky

Tento článek je založený na principech a pokynech pro architekturu cílové zóny architektury na podnikové úrovni architektury architektury cloud adoption Framework. Další informace naleznete v tématu:

• Principy návrhu cílové zóny Azure
• Pokyny k návrhu cílových zón Azure

Článek je součástí série, která používá principy cílové zóny na podnikové úrovni a doporučení pro nasazení azure VMware Solution. Mezi další články v řadě patří:

• Správa identit a přístupu na podnikové úrovni pro azure VMware Solution
• Síťová topologie a možnosti připojení na podnikové úrovni pro řešení Azure VMware
• Automatizace platformy na podnikové úrovni a DevOps pro azure VMware Solution
• Provozní kontinuita a zotavení po havárii na podnikové úrovni pro řešení Azure VMware

Přečtěte si další článek v řadě:

Správa a monitorování na podnikové úrovni pro Azure VMware Solution